Los expertos desvelan cómo atacan los hackers a los hospitales españoles en plena crisis del coronavirus: "Las incidencias que sufren son una barbaridad"

• La Policía Nacional ha detectado ciberataques con ransomware a hospitales españoles, y algunas firmas ya apuntan a una familia de este tipo de programas maliciosos: Netwalker.
• Los ransomware son programas que cuando infectan tu dispositivo, cifran y encriptan todos tus archivos. Para recuperarlos tendrás que pagar un rescate a los hackers.
• Bleeping Computer, un portal especializado en ciberseguridad, preguntaba hace días a los responsables de Netwalker si pensaban paralizar sus ataques a hospitales por el coronavirus. Su respuesta: "Nadie tiene intención de atacar hospitales, si ocurre, es por casualidad".
• El editor de Bleeping Computer les insistió, y el colectivo admitió que si un hospital sufría un ataque de ransomware, tendrían que pagar igual.
• Una firma española ofrece auditorías gratuitas en ciberseguridad para hospitales. Su CEO, Xavier Hidalgo, no cree en las buenas intenciones de estos hackers.
• El director técnico de Check Point en España y Portugal incide en que con la mayor parte de los ataques a hospitales los hackers tienen un objetivo: el lucro.
• Descubre más historias en Business Insider España.

En tiempos de coronavirus, la industria de la ciberseguridad está redoblando esfuerzos. No es solo que buena parte de la población esté teletrabajando: es que durante una pandemia, los hospitales se convierten en una infraestructura todavía más crítica de lo que ya son.

Esta semana el diario El Confidencialabundaba en cómo el Hospital de Torrejón sobrevivió a uno de estos ciberataques poco antes de que estallase la crisis del COVID-19. Una doctora explicaba que en quirófano no podían acceder a las pantallas que utilizan para proyectar imágenes para saber dónde operar, fruto de esta incidencia informática.

El director adjunto operativo (DAO) de la Policía Nacional explicaba en una reciente rueda de prensa que algunos hospitales españoles ya han registrado ciberataques. Son un objetivo "goloso" para ciberdelincuentes, explica Eusebio Nieva, director técnico de Check Point para España y Portugal, aunque advierte que no le gusta emplear ese término.

Lo que no dijo la Policía Nacional y sí trascendió después fue con qué programa malicioso se intentó atacar a centros hospitalarios españoles.

Leer más: Los ataques informáticos se multiplican en plena pandemia del coronavirus: las ciberarmas que tiene el CNI para ahuyentar a los espías de las reuniones virtuales del Gobierno

Se trata de Netwalker, un ransomware. Como todo buen ransomware, se trata de un virus que infecta a un dispositivo y trata de propagarse a los demás, con el objetivo de comenzar a encriptar los archivos de la máquina. Una vez el ransomware consigue encriptar los ficheros, los hackers exigen un rescate —un ransom, en inglés— que las víctimas tendrán que pagar para poder volver a reunir todos sus documentos. Hay iniciativas de la Europol que desarrollan herramientas de desencriptado gratis.

Los operadores de este programa ransomware respondieron hace días a unas preguntas del responsable de Bleeping Computer, un portal especializado en ciberseguridad, que les preguntaba si pensaban seguir atacando hospitales durante la crisis del coronavirus. La respuesta: "¿Crees que alguien tiene como meta atacar hospitales? Nosotros no, nunca. Si ocurre, es casualidad. Nadie ataca a propósito un hospital".

Pero Lawrence Abrams, editor de Bleeping Computer, insistió en qué sucedería si un hospital sufre un ataque con Netwalker. "Si alguien sufre un cifrado de sus archivos deberá pagar para que se descifren", respondió entonces el grupo.

Si las víctimas no pagan el rescate, entonces corren el riesgo de que la información a la que han accedido los ciberdelincuentes salga a la luz. En los ciberataques a grandes empresas esto se traduce en la filtración de documentos sensibles, pero en el caso de un ataque al hospital podría resultar la filtración de datos personales de cientos de pacientes.

Además de Netwalker, Eusebio Nieva, de Check Point, detalla que también se han registrado casos de ataques con Emotet a algunos hospitales, pero estos fuera de España. Emotet fue muy conocido cuando a finales del año pasado la familia de este ransomware fue la responsable de un ciberataque que afectó a grandes compañías españolas, como la Cadena Ser o la consultora Everis.

Por qué los hackers se ceban con los hospitales

Nieva no cree que los últimos casos registrados por la Policía Nacional sean ataques dirigidos. Las amenazas persistentes avanzadas (ATA, por sus siglas en inglés) son los grupos de hackers patrocinados por organizaciones o países. "Normalmente este tipo de campañas son indiscriminadas, es decir, atacan a todo lo que se mueve a ver si cae algo".

Xavier Hidalgo es el CEO de RedHacking, una firma de auditorías en ciberseguridad. La compañía protagoniza estos días un destacable gesto: ha ofrecido en LinkedIn realizar auditorías gratuitas a centros hospitalarios mientras dure la crisis del coronavirus. En conversación con Business Insider España, detalla que ya ha recibido unas cuantas solicitudes de entidades sanitarias.

Hidalgo es ahora el máximo responsable de dicha firma, pero antes fue responsable de sistemas en hospitales. "Son atacados constantemente. He administrado hospitales durante mucho tiempo y he monitorizado la cantidad de ataques a los que están sometidos constantemente, es una barbaridad", incide.

De hecho, Hidalgo reconoce que aunque en los últimos años los hospitales sí han invertido en ciberseguridad, todavía hay algunos problemas. "Muchos han conseguido monitorizar y han tenido suerte al conseguir parar el ataque antes de que fuera a más. En España todavía no hay hospitales que se hayan visto obligados a parar".

Además, los centros hospitalarios, por su naturaleza, no pueden parar nunca. En otras organizaciones, detalla Hidalgo, es fácil encontrar una franja horaria en la que los administradores de sistemas puedan renovar su infraestructura. En el caso de muchos hospitales, esta está muy desactualizada o desfasada.

Nieva e Hidalgo coinciden en la falta de "educación" o "concienciación" de muchos trabajadores en términos de ciberseguridad. A eso, añaden la situación de desborde que se vive por la crisis del coronavirus. En el momento en el que se escriben estas líneas, España ha alcanzado los 40.000 positivos por COVID-19.

Una visión algo más optimista la brinda el propio director técnico de Check Point. Eso sí, el propio Nieva le pone muchas comillas al asunto. "El personal está tan centrado en temas médicos que es difícil que puedan entrar en peligro. Hay menos peligro, entre comillas, de que pulsen un enlace que no deben. Pero este peligro sigue siendo real, porque si llega el momento en el que sufren un ciberataque, no lo van a poder pensar, estarán agotados".

Los ciberdelincuentes inciden en que no atacarán entidades sanitarias, pero nadie les cree

El editor de Bleeping Computer se animó hace días a preguntarle a las principales bandas dedicadas a ciberataques con ransomware si seguirían atacando en el contexto de crisis por coronavirus. Además de la respuesta de los operadores de Netwalker, el ransomware que ha afectado a hospitales españoles,  otros ciberdelincuentes respondieron. Es el ejemplo del grupo Maze o de DoppelPaymer.

Leer más: Ciberdelincuentes suplantan a Hacienda y a la Oficina de Patentes para reclamar importes falsos a empresas: así es la estafa que aprovecha la crisis del coronavirus

"Siempre tratamos de evitar hospitales o enfermerías", respondieron estos últimos. "Si ocurre por error, desciframos los archivos gratis. Pero algunas compañías intentan aparentar lo que no son. Una firma de desarrollo se presentó como una pequeña inmobiliaria. Otra, como una perrera. Si esto ocurre hacemos el doble o el triple de comprobaciones antes de enviar gratis la herramienta de descifrado. Pero con las farmacéuticas: estas ganan mucho dinero en estos días de pánico y no tenemos ninguna intención de ayudarlas. Mientras que los médicos trabajan, ellas ganan dinero".

Más allá de las pretendidas buenas palabras que estos grupos criminales mantienen, Xavier Hidalgo, de RedHacking; y Eusebio Nieva, de Check Point, no se los creen.

Hidalgo asegura que "estas mafias organizadas carecen de esa ética como para decir eso". "A lo mejor alguna relaja su actividad, pero yo no me las creo. Hay que monitorizar más que nunca".

Nieva admite que, dentro de "lo sinvergüenzas que son", algunos van más allá: "Hay colectivos que están redoblando esfuerzos contra hospitales cuando ahora mismo son más vulnerables que nunca". El objetivo no siempre es vandálico: la mayor parte de las veces es el rendimiento económico que se les saca a estos ciberataques.