Un "comportamiento extraño" en la red y más de 4 gigas de tráfico saliente: este escalofriante relato detalla cómo Quirón detectó y reaccionó ante un ciberataque con 'ransomware'

Hace unos días uno de los grandes proveedores de internet de todo el mundo, Fastly, tuvo problemas técnicos y buena parte de la red de redes estuvo caída. En ese momento, muchos usuarios comprendieron cómo nuestra sociedad depende cada día más de la tecnología.

Por eso la ciberseguridad no se puede reducir únicamente a un formalismo tecnológico. Garantizar que los sistemas informáticos de una compañía o una administración están bien defendidos pueden significar la diferencia entre la vida y la muerte de personas. Más en el ámbito sanitario.

Durante la pandemia, muchos colectivos de ciberdelincuentes pusieron su diana en compañías sanitarias de todo el globo. Así, el hospital de Torrejón de Ardoz ya fue víctima de incidentes informáticos que paralizaron sus rutinas y pusieron en riesgo la vida de pacientes. También fue el caso de Fresenius, la matriz de Quirónsalud, uno de los mayores proveedores de salud privada en España.

Una filial de Quirón, Quirón prevención, volvió a sufrir un nuevo ciberataque con ransomware a finales del año pasado. La ciberseguridad no es un mero formalismo tecnológico porque también es talento, resiliencia, capacidad de respuesta y transparencia. Lo habitual es que cuando una compañía está bajo un ataque, esta trate de negar la mayor y evitar cualquier crisis reputacional.

90 días en alerta: los especialistas no descartan que el ciberataque al Ministerio de Trabajo sea un segundo golpe del que ya sufrió el SEPE

Pero la Agencia Española de Protección de Datos (AEPD) es uno de los organismos públicos que se encarga de velar por las fortalezas y sistemas seguros en los que se tratan los datos de los ciudadanos españoles. Otros organismos encargados de hacer las pertinentes comprobaciones en materia de ciberseguridad son el Centro Criptológico Nacional o el Instituto Nacional de Ciberseguridad.

En virtud de su propósito, la AEPD publicó hace unos días una resolución en la que se pormenoriza cómo fue el ciberataque que afectó a varios sistemas de Quirón prevención en noviembre del año pasado. Esta filial es la encargada de desarrollar protocolos de prevención de riesgos laborales y ha tenido un papel esencial para empresas como aerolíneas a la hora de ofrecer pruebas PCR.

Por eso un tuit de un usuario en noviembre del año pasado hizo saltar todas las alarmas. "Ayer los servidores de Quirón prevención fueron hackeados, me hice la PCR en Alicante porque vuelo el lunes a las 8:00. No hay ningún teléfono operativo y necesito ese PCR para volar, ¿me pueden ayudar?".

Los primeros síntomas se detectaron por la noche

La AEPD solicitó información a Quirón prevención para conocer cómo fue el incidente. La empresa confirma que a partir del jueves 12 de noviembre, a las 22:30 horas, empleados de Quirón detectan "un comportamiento extraño" en los sistemas de dominio y red de la empresa gracias a los sistemas de monitorización que tenían activados.

"Al conectarse, se identifica que 2 de los 6 servidores que conforman el servicio de correo Exchange se han visto afectados por un ransomware de la familia Avaddon. No se ha detallado que programa empleaban estos servidores, pero vale la pena recordar que unos pocos meses después Microsoft reconoció haber sufrido un hackeo que dejó a decenas de miles de estos servidores vulnerables.

De repente, los archivos de Quirón prevención estaban cifrados y en sus ordenadores aparecía una nota en texto plano "en la que se solicitaba el pago en bitcoins a cambio de proporcionar una herramienta para desencriptar los archivos". 

El FBI accede al criptomonedero de los ciberdelincuentes que bloquearon el oleoducto de Colonial en EEUU y recuperan parte del rescate pagado

"Se determina asimismo que se trata de un escenario de doble extorsión, por lo que el atacante no solo solicita el pago a cambio de proporcionar los medios para desencriptar dichos archivos, sino que también extorsiona para que ceda el pago del rescate a cambio de no hacer pública información que presumiblemente han exfiltrado de la red de la organización", continúa.

A la una y cuarto de la madrugada del jueves al viernes, los técnicos de Quirón prevención toman la decisión de cortar internet. A las dos de la mañana, cortan "túneles" con terceros. Dos horas más tarde, abren caso de Severidad A con Microsoft y solicitan un análisis forense a su centro de seguridad. A las cinco menos diez de la mañana se aíslan las redes de las sedes de la firma.

Todas las contraseñas de los usuarios que accedían a los sistemas se reinician. Las redes virtuales privadas (VPN) que se estaban empleando para el teletrabajo se interrumpen. El viernes a mediodía se eliminan todos los permisos en carpetas compartidas y se aíslan de la red los servidores virtuales.

Cómo empezó el ataque

En la información que Quirón remite a la AEPD se destaca que la hipótesis más probable como vector de entrada del atacante es "una campaña de phishing dirigida a los empleados". "Tras obtener algunas credenciales accede a la red a través de una conexión VPN. Una vez dentro, el atacante trata de realizar unos movimientos laterales a otras máquinas y escalar privilegios entre el 10 y el 12 de noviembre".

Además se identifica "un total de 4,15 GB de tráfico saliente desde 6 servidores de la red interna de la organización hacia el servidor del atacante". "La información contenida en esos servidores tiene datos del Directorio Activo de la compañía, mensajes de correo electrónico y algunos datos de empleados como DNI, teléfonos y correos electrónicos".

Para la pandemia de la ciberdelincuencia todavía no hay vacuna: "Veremos menos ataques pero serán más peligrosos", adelantan algunos especialistas

La propia firma reconoce que el ataque se produce "en el contexto externo actual de pandemia en el cual se ha extendido de una forma extensiva y rápida el teletrabajoa la mayoría de empleados de Quirón". El incidente desató una reacción rápida y frenética con la cual los problemas "quedaron acotados y resueltos" durante el fin de semana inmediatamente posterior, del 14 al 15 de noviembre.

"Entre el lunes 16 y el martes 17 quedaron ya disponibles todos los servicios digitales hacia nuestros clientes", reivindica la compañía, y una semana después del ataque "quedó restablecido el servicio de correo electrónico corporativo".

Qué pasó con los datos filtrados de 5.000 empleados

Como la propia empresa reconoce, se vieron afectados los datos del Directorio Activo en el que aparecen los documentos de identidad, correos y teléfonos de 5.000 trabajadores. "Las posibles consecuencias pudieran ser la publicación de los datos exfiltrados de forma pública, así como el envío de correos electrónicos utilizando la dirección de correo corporativa, lo que supondría una suplantación de identidad corporativa".

Quirón, que matiza que "en ningún caso" se atendió la nota de rescate, se amenazaba con publicar esta información. "Por tal motivo la empresa está monitorizando la red por si se realizase alguna publicación. A la fecha de la comunicación de la respuesta al requerimiento de Inspección de Datos, no se ha detectado publicación alguna".

Cuidado con lo que enchufas a tu móvil: esto no es un simple cable, es una sofisticada arma de hacking con la que expertos en ciberseguridad ya entrenan

Sin embargo, esta posible brecha no se ha notificado a los afectados —los empleados— según el criterio que ofrece la propia AEPD en una de sus guías, "teniendo en cuenta los criterios de volumen, tipología de datos e impacto", porque "la brecha de seguridad no supone un riesgo para los derechos y libertades de las personas físicas".

Además de mantener esta monitorización de la red, Quirón introdujo un sistema de doble autenticación a sus usuarios y migró su servicio de correo a una solución segura en la nube. Cambió su antivirus por una solución integral de ciberseguridad y reconstruyó su Directorio Activo.

La AEPD resuelve el caso sin sanciones al concluir que "con anterioridad a la brecha, la entidad disponía de medidas de seguridad razonables en función de los posibles riesgos estimados". También, al igual que ya hiciera con el ataque a Mapfre de hace un año, "destaca la rápida actuación de la entidad desde el mismo momento en el que tuvo conocimiento de los hechos".

"Intervino de forma activa en su resolución, minimizando los posibles efectos perniciosos del incidente. Así, la entidad actualizó con la diligencia debida a los equipos físicos y lógicos".