Cinco días después, el hospital aún no había restablecido el servicio con normalidad, con áreas como la actividad quirúrgica de poca complejidad al 40%, y con grandes colas para que los pacientes pudieran acceder a sus análisis clínicos. El mismo día 10, los ciberdelincuentes de Ransom House exigieron el pago de un rescate por valor de 4,25 millones de euros para no hacer públicos los datos de los pacientes, asegurando disponer de cuatro terabytes de información. Desde el ejecutivo catalán se ha mantenido el rechazo al pago.
Una semana después, el Hospital Saint-Pierre de Bruselas fue víctima de otro ataque similar. Este fue inmediatamente detectado en el momento en el que empezaron a ralentizarse los servidores.
La monitorización de los activos, junto a una rápida detección y respuesta, la cual incluía protocolos bien definidos por el centro belga, minimizó los daños. Tan solo 24 horas después, el hospital consiguió mantener operativas el 100% de las aplicaciones tecnológicas y recuperar el historial informatizado del paciente. Asimismo, se mantuvieron todas las hospitalizaciones previstas, si bien por precaución decidieron trasladar los partos a otros centros próximos.
En 2023 el cibercrimen se dirigirá a las IT financieras y de salud
Leer más
Diferencias en las respuestas
Ambos ataques parecen estar motivados por un interés económico en lugar de un componente hacktivista. Por el momento, no se puede establecer una relación entre ambos ataques, pero sí podemos ver las diferencias en la forma de responder ante los sucesos.
La preparación belga en materia de detección proactiva de amenazas y la existencia de un plan de contingencia y emergencia ha conseguido que los daños sean mínimos. En el Hospital Saint-Pierre contaban con medidas para mejorar la seguridad de sus infraestructuras y los procesos internos de gestión en caso de un ataque. Asimismo, es bastante probable que hubieran activado un equipo de DFIR, lo que ha permitido que el ataque no afecte significativamente a la disponibilidad de sus servicios. Esta circunstancia demuestra una gran madurez en la respuesta a estos incidentes de seguridad.
¿Cómo proteger estas infraestructuras?
Para proteger los centros hospitalarios, sería recomendable seguir las mismas prácticas que cualquier otra infraestructura crítica. Es fundamental implantar un modelo de "Zero Trust" y monitorizar todos los activos. Además, es necesario seguir buenas prácticas de seguridad, como concienciar al personal, tener sistemas de backup y mantener buenos procedimientos de actuación, entre otros aspectos. Todo esto es necesario para reducir el riesgo de interrupción del servicio de toda la organización.
Hay que tener en cuenta que los hospitales cuentan con una gran complejidad organizativa, con una actividad 24x7x365 y dispositivos conectados a sistemas externos, con un entorno crítico complejo de controlar. Además, los centros sanitarios disponen de la joya de la corona de los ciberdelincuentes: la información clínica de los pacientes, que puede ser sustraída con fines de fraude administrativo o de venta de ficheros a otros cibercriminales, tal y como ha sucedido en el caso del Hospital Clínic de Barcelona.
Para afrontar estos retos, resulta esencial que el personal sanitario siga buenas prácticas en ciberseguridad, y reciba formación en concienciación para poder detectar al instante prácticas de phishing por ejemplo o pueda realizar una detección proactiva de amenazas. También es crucial llevar a cabo la realización de backups de manera periódica en los diferentes sistemas. Además, contar con un buen servicio de SOC/CSIRT que ofrezca monitorización 24x7 ya que esta será determinante para prevenir, detectar, investigar y responder cualquier tipo de riesgo que pueda amenazar los activos.
El sector sanitario cada vez es más digital
Leer más
¿Qué nos depara el futuro?
Este tipo de ataques serán cada vez más comunes, ya que las infraestructuras críticas son un gran objetivo para los ciberdelincuentes por la posibilidad de obtener ingentes ingresos económicos de los rescates y por la sensibilidad de la información que este tipo de instalaciones manejan.
No obstante, aunque el número de incidentes está creciendo, la seguridad de los activos está mejorando de manera constante y en líneas generales, los servicios se están restableciendo con normalidad. Por ello, no debemos alarmarnos, sino seguir trabajando para mejorar la seguridad de nuestras infraestructuras críticas.
Autor: Roberto Lara, SOC Director de BeDisruptive
Si (
No(
