El pasado 1 de octubre, la ciberdelincuencia paralizó tres hospitales de Alabama, el DCH Regional Medical Center de Tuscaloosa, el Fayette Medical Center y el Northport Medical Center, que advirtieron cómo, de repente, no podían consultar las citas previas ni gestionar las nuevas, ya que su sistema informático no funcionaba como debía.

Al principio se pensó que podía tratarse de una incidencia aislada y momentánea, hasta que  los equipos de ciberseguridad de DCH, la compañía propietaria de los tres centros, fueron conscientes de que todo su sistema informático había sido infectado mediante ransomware. El origen de todo, según detectaron, residía en una campaña de phishing a través del correo electrónico que, finalmente, consiguió encriptar muchos archivos con información privada y confidencial. Para desencriptar dichos ficheros los ciberdelincuentes pedían a cambio un pago económico en criptomonedas.

Las consecuencias del ciberataque fueron especialmente graves. Para empezar, los hospitales tuvieron que rechazar la aceptación e ingreso de nuevos pacientes –a menos que fueran críticos–, con el evidente perjuicio que eso puede ocasionar al tratarse de tres centros distintos ubicados en un mismo estado. Además, las ambulancias fueron desviadas hacia otros destinos sanitarios cercanos. En cuanto a las citas previamente agendadas, los pacientes tuvieron que llamar por teléfono para comprobar si seguían en pie (en muchos casos no). Lo único que estos tres hospitales mantuvieron inamovible fueron las operaciones quirúrgicas ya concertadas.

En Australia se produjo un caso muy similar. Allí fueron siete los hospitales que, de forma súbita, vieron afectado el funcionamiento de sus sistemas también por un ciberataque de ransomware. Las consecuencias que sufrieron estos centros, situados en Gippsland y el suroeste de Victoria, fueron semejantes a las experimentadas en Alabama.

El problema de las infraestructuras críticas_

Este tipo de incidentes ponen de manifiesto la dificultad de gestionar una de las tipologías más delicadas de ciberataques: las dirigidas hacia infraestructuras críticas, como pueden ser un hospital, el sistema eléctrico o el organigrama judicial de una administración pública. En estos casos, más allá de la mayor o menor complejidad técnica del ciberataque, lo más complicado de gestionar son las consecuencias que tiene que afrontar la organización infectada al no poder proporcionar sus servicios con normalidad.

En el caso concreto de organizaciones del ámbito sanitario, las víctimas no solo se exponen a las pérdidas económicas derivadas del ciberataque, sino también a una pérdida de documentación extremadamente delicada (historiales médicos, citaciones, etc.), así como a un perjuicio de la imagen y reputación .

De hecho, según ha reportado Gizmodo, los tres hospitales de Alabama se vieron obligados a pagar el rescate para acceder a algunas de las contraseñas de desencriptación de sus archivos más críticos y, de este modo, poder recuperar su funcionamiento habitual. Esta actuación contradice las tradicionales consignas de los cuerpos policiales cuando se produce un ciberataque: no se debe pagar, ya que se producirá un efecto llamada para que haya más ataques y, además, el pago tampoco garantiza recuperar el material perdido. Sin embargo, en esta ocasión,  la inhabilitación de los tres hospitales y su carácter de servicio imprescindible pueden explicar que se accediera al pago del rescate.

Cómo prevenir intrusiones en este tipo de infraestructuras_

Ya hemos mencionado la especial gravedad de las consecuencias de un ciberataque a infraestructuras críticas, por lo que, en este caso, cobra especial importancia la capacidad de las organizaciones de reaccionar de forma rápida ante las amenazas y responder de forma adecuada.

Una protección avanzada del endpoint es fundamental para hacer frente a este tipo de ataques y por ello Cytomic la aborda con capacidades muy robustas de EDR, monitorización de los endpoints, telemetría enriquecida con inteligencia de amenazas y analítica de datos a escala. En el caso de la solución Cytomic EPDR extiende la detección y respuesta de Cytomic EDR con capacidades de plataforma de Endpoint Protection necesarias para impedir que las amenazas lleguen al endpoint y reducir la superficie de ataque. Ambas soluciones incluyen el servicio gestionado Zero Trust Application Service, capaz de determinar de forma automática y en tiempo real la naturaleza de los procesos y binarios, clasificándolos como maliciosos o confiables y que, en base a ello, permite o bloquea su ejecución. De este modo, permite hacer frente a malware de cualquier tipo, ya sea conocido o desconocido, incluido el ransomware, como en los casos mencionados.

Conviene no olvidar que un ciberataque a una organización como un hospital no solo afecta al propio centro en cuestión, a su imagen y a sus resultados económicos, sino en última instancia, a sus pacientes, con el impacto social que eso puede generar.