El hackeo a una red de psicólogos en Finlandia o el reciente ataque al Ayuntamiento de Castellón demuestran lo cruel que puede ser el vínculo entre ciberseguridad y salud mental

Un ciberataque no es solo una operación sofisticada con ánimo de lucro contra una empresa. También es un grave atentado a la intimidad que puede ser rematadamente cruel y provocar graves secuelas en la salud mental de sus víctimas.

Y sus víctimas no siempre son las empresas.

Lo demuestran dos ciberataques de calado. Uno en Finlandia, que recoge Wired, y que afectó a la intranet de una red de clínicas de psicólogos del país llamada Vastaamo. Otro, más reciente y este en España, que afectó a una entidad pública: a nada más y nada menos que el Ayuntamiento de Castellón.

En el caso de Vastaamo, la historia es demoledora y Wired la narra desde el punto de vista de Jere, un joven estudiante universitario de 22 años que encontró en su móvil un correo electrónico de unos ciberdelincuentes —o de uno solo, haciéndose pasar por varios— que le exigía el pago inmediato de 200 euros en Bitcoin. El chantaje era que o pagaba, o Jere vería cómo se publicaban en la red las anotaciones que hicieron sus terapeutas durante sus sesiones en Vastaamo, a las que acudía cuando tenía 16 años.

Glovo sufre un ciberataque: un criminal logró acceder a la plataforma y vender cuentas de 'riders' y usuarios a los que incluso podía cambiarles la contraseña

La historia de Jere es desoladora. En resumidas cuentas, y según detalla Wired, con 16 años y ante el psicólogo de la compañía, el joven finlandés reconoció abusos de sus padres, como hacerle dormir en el jardín cuando se portaba mal. También asumió tener un problema con las drogas. "Solo estaba siendo honesto", relata el universitario. No tenía ni idea de que todo lo que estaba contando se acabaría archivando en una intranet privada.

Aunque Jere superó esa oscura etapa de su vida, tenía miedo. Tenía miedo de perder a su madre una vez esta descubriese todo lo que el joven le había contado a su psicólogo. Cuando recibió el correo electrónico con la amenaza, denunció a la policía, se fue a casa, llamó a un amigo, y comenzó a beber. Cuando su amigo llegó para acompañarlo y consolarlo, él ya estaba desplomado en el suelo. Desmayado.

Los ciberdelincuentes le exigían 200 euros en 24 horas. Si no cumplimentaba el plazo, el pago sería de 500 o 600 euros.

Cómo ocurrió el ataque a Vastaamo

No se sabe. Ville Tapio, CEO de Vastaamo, recibió un correo electrónico de los atacantes en septiembre de 2020. Los ciberdelincuentes exigían el pago de medio millón de euros en criptomonedas, unos 40 bitcoin. En un foro anónimo finés, los atacantes advirtieron que debido a que el CEO había dejado de contestar sus correos, empezarían a liberar los datos psiquiátricos de 100 pacientes al día.

Así le llegó el turno al joven Jere. Las autoridades finlandesas investigaron el ciberataque a Vastaamo y la prensa nacional tituló el caso como el posible ilícito criminal más grave de la historia de Finlandia. "Ser honesto con mi pasado y mi salud mental se ha convertido en una mala idea", reconoce el joven universitario víctima del incidente.

Ahora Jere vive constantemente preocupado porque su madre pueda leer algún día lo que dijo cuando era un adolescente, y no para de recibir llamadas de estafadores exigiéndoles miles de dólares. La compañía, Vastaamo, se declaró en bancarrota a finales de enero de este año. 

La red de clínicas era hasta entonces como un "McDonald de la psicoterapia", explica Wired, que lanza una pregunta: ¿fue el ciberataque cruento por la falta de financiación al sistema sanitario público, que dejó en manos de una compañía la salud mental de miles de finlandeses, o por los problemas de ciberseguridad de la empresa?

La intranet y la base de datos en la que se archivaban todos los expedientes de sus pacientes era una MySQL que estaba protegida por un par de cortafuegos y un sencillo formulario de inicio de sesión.

Ni siquiera encriptaban los datos de sus pacientes.

Suicidios y violencia de género: las denuncias filtradas en Castellón

Semanas atrás un colectivo de ciberdelincuentes atacaban con ransomware al Ayuntamiento de Castellón. El incidente se producía pocas semanas después de que un tipo de ataque similar impactase sobre el Servicio de Empleo Público Estatal, este último sin que se acabaran robando datos. El Ayuntamiento de Castellón no corrió la misma suerte, y 119 gigas en datos acabaron en la red.

Cómo el internet de las cosas y la ética en los algoritmos jugarán un papel clave en el futuro inmediato de la ciberseguridad, según este responsable de Google Cloud

El Confidencial logró acceder a dos de los 246 archivos filtrados de Castellón y en este artículo relata cómo entre la documentación sensible afectada se incluyen datos completos de víctimas de violencia de género, atestados policiales, datos de agentes de policía, datos de ciudadanos sometidos a controles de drogas, fotografías de heridos o fallecidos en accidentes de tráfico, datos de menores con absentismo escolar, correos y contraseñas de la corporación municipal...

Para demostrar el acceso a estos documentos, el mismo diario detalla cómo una operación de la Policía Local de Castellón evitó que un hombre de 86 se suicidara bebiendo lejíay tirándose por el balcón de su casa. "Esta información no la conocemos por fuentes oficiales, sino por uno de los ciberataques más graves de los últimos años a una administración pública española".

Las consecuencias emocionales de los ciberataques

Estos dos casos revelan la estrecha relación que hay entre incidentes y ataques informáticos y salud mental. Aunque se suele escribir de este tipo de eventos desde el ámbito empresarial —los riesgos de las empresas, pymes y multinacionales a la hora de protegerse en la red—, lo cierto es que los usuarios finales son también una pieza muy vulnerable del ecosistema digital.

Una de las mayores especialistas en este ámbito es Selva Orejón, CEO de onBRANDING, firma especializada en reputación digital. Orejón participó recientemente en un Smart Business Meeting organizado por Business Insider España centrado en ciberseguridad y buena parte de su discurso pivotó en todo momento en las consecuencias emocionales que suele tener un ciberataque y a las que no se les presta la suficiente atención.

En la ciberseguridad hay mucho más en juego. "Hay unas consecuencias emocionales que parecen que pasan desapercibidas. Yo en mi despacho trabajo con 19 psicólogos que ven cada día de su vida cómo es el tener una situación de estas características", relataba.

Pensamiento lateral y divergente: la pieza clave para conseguir ser buenos profesionales de la ciberseguridad, según un reputado hacker español

Con una situación "de estas características", Selva se refería a casos extremos de stalking: acoso constante y continuado en redes sociales contra una sola persona. Uno de sus clientes lo sufre desde hace cinco años y medio. "Recibe desde diferentes cuentas en redes sociales acoso, e incluso fotos del interior de su domicilio (...). El único objetivo es desestabilizarle emocionalmente. Empezamos a sospechar que detrás hay una empresa contratada para ello".

El problema, desde la perspectiva de la concienciación para segurizarse mejor en la red, es que "o te pasa algo gordo a ti o a alguien cercano" —como lo que le ocurrió a Jere, a las víctimas del hackeo a Vastaamo o del ataque al Ayuntamiento de Castellón—, o no se comprende perfectamente las dimensiones que pueden alcanzar este tipo de incidentes.