Hoy en día uno de los mayores riesgos que puede sufrir la informática sanitaria viene derivada de los virus informáticos y especialmente de una variante de los mismos, conocida como ransomware, y que lleva algunos años siendo especialmente popular y dañina en todos los entornos.
¿Qué es el ransomware?
A estas alturas no habrá mucha gente que desconozca lo que es el ransomware (incluso que lo haya visto en acción) pero por si alguien no lo sabe, se trata de toda una serie de virus informáticos que encriptan (o restringen el acceso a) ficheros de los sistemas infectados y solicitan un rescate económico (generalmente en bitcoins) para su liberación. El término proviene de las palabras inglesas ransom- (rescate) y –ware (software) y se popularizó internacionalmente a partir del año 2013, procedente inicialmente de Rusia. El enorme número de variantes así como las consecuencias que acarrea ha hecho que hoy en día sea una de las mayores amenazas informáticas a las que estamos expuestos.
Se trata de toda una serie de virus informáticos que encriptan ficheros de los sistemas infectados y solicitan un rescate económico para su liberación
El virus utiliza habitualmente (aunque no siempre) técnicas de ingeniera social para que el usuario se infecte. A través de un archivo adjunto en un correo electrónico o de un enlace consiguen que el usuario ejecute el programa malicioso, que a partir de ese momento comienza a realizar su dañino trabajo.
Hay que tener en cuenta que el virus no sólo ataca los archivos del ordenador infectado. Si éste se encontrara conectado a una red local afectaría también a todas aquellas carpetas y recursos compartidos a los que el usuario tuviera acceso. Esto hace que este tipo de virus sea especialmente peligroso para las empresas y organizaciones, su principal objetivo.
¿Por qué se han hecho tan populares estos ataques?
Lo que más puede extrañar es la popularidad que están teniendo este tipo de ataques, a pesar del tiempo que llevar circulando por la red y de lo conocidos que se han hecho.
Pero si imaginamos esa pequeña empresa, tienda, despacho de abogados o usuario particular (seguro que ejemplos encontramos muchos) con pocos conocimientos informáticos y que de pronto se encuentra con toda su información encriptada y sin una copia de seguridad, imaginamos lo que puede pasar. Desesperación, frustración, agobio… al final alguno siempre decidirá que pagar es la única solución para recuperar la información y esto es lo que buscan los delincuenes.
Y aunque el porcentaje de infectados que pagan es relativamente bajo (las cifras son relativas y varían mucho entre las fuentes, desde un 0,3% de algunos estudios a un 52% en el caso de empresas españolas infectadas), el número de infectados es tan alto que los ataques de este tipo se han hecho muy rentables. Por este motivo cada vez más delincuentes (e incluso gente más “normal”) se lazan a generar variantes de estos virus para recaudar dinero de sus actividades ilícitas.
Y lo cierto es que por ahora podemos sentirnos afortunados, ya que los ciberdelincuentes se conforman con pedir un rescate para liberar los ficheros atacados. Sin embargo, la información ya ha sido comprometida y no sería difícil para un programa de este tipo enviarla al exterior para que posteriormente se pudiera pedir un rescate para evitar su divulgación. Esto cambiaría completamente la decisión de pagar o no pagar, dado que las consecuencias de hacer pública depende qué información serían mucho más graves que la cantidad a satisfacer.
No sería difícil para un programa de este tipo enviar información al exterior para pedir un rescate que evite su divulgación
¿Cómo prevenir este tipo de ataques?
Aunque todo el mundo puede pensar que está más o menos libre de esta amenaza, lo cierto es nadie lo está. Incluso los usuarios más avanzados pueden, en un momento de despiste, abrir un archivo adjunto e infectarse.
Todos recordamos ese tipo de reglas básicas que se deben seguir: tener un buen antivirus, mantenerlo actualizado, no abrir correos de remitentes desconocidos o poco fiables, no abrir ficheros sospechosos o inesperados, no pulsar enlaces sospechosos… Pero lo cierto es que ninguna de estas medidas es 100% eficaz. Tampoco los antivirus, programas anti-malware o similares se muestran efectivos ante este tipo de virus, que utilizar diversas fórmulas para esquivarlos.
La única fórmula realmente efectiva es la prevención, no abriendo correos de gente desconocida o sospechosos, no descargando aplicaciones de fuentes no confiables y manteniendo al día todas las medidas de seguridad tanto individuales (antivirus y demás) como perimetrales (cortafuegos, etc).
Pero nada se ha mostrado completamente eficaz hasta la fecha. Y en caso de infección solo hay una alternativa: disponer de un buen sistema de respaldo (backup) que nos permita restaurar la información totalmente o al menos con una pérdida mínima en el menor tiempo posible. Es cierto que existen algunas herramientas que dicen poder desencriptar la información pero en mi experiencia no son demasiado efectivas y no podemos confiar en que lo consigan en la mayoría de los casos.
Y por supuesto, no pagar nunca. Pagando sólo conseguiremos que este tipo de amanzas se hagan rentables y, por lo tanto, crezcan aún más si cabe. Y nunca tendremos garantías de que recuperaremos el control de los archivos infectados.
La amenaza Nº1 para el mundo de la salud
Las organizaciones sanitarias, almacenando un inmenso volumen de información sensible y valiosa, son un objetivo principal para este tipo de casos, que veremos incrementarse en el futuro.
Un ataque de esta naturaleza a una organización sanitaria puede poner en riesgo una parte o la totalidad de la historia clínica de sus pacientes así como gran cantidad de otros datos de especial sensibilidad que deben custodiar y proteger. Y perderlos supondría una verdadera catástrofe para cualquiera que lo sufra.
Pero aunque la pérdida de datos, en algunos casos, puede ser significativa, el problema no reside principalmente en este hecho ya que, afortunadamente, en la mayoría de los casos las organizaciones disponen de políticas de respaldo y seguridad establecidas, operativas y validadas. El mayor problema está en el tiempo que se puede tardar en recuperar totalmente una instalación infectada. Y es que el tamaño del parque de dispositivos y la gran diversidad de sistemas hace que el proceso de recuperación sea largo y costoso y eso supone grandes dificultades tanto para pacientes como para profesionales, generando grandes pérdidas económicas y de imágen pública.
Puede poner en riesgo una parte o la totalidad de la historia clínica de sus pacientes
El ataque de este tipo sufrido en febrero de 2016 por el Hollywood Presbyterian Medical Center es un buen ejemplo de ello. Tras tener que desactivar buena parte de sus sistemas durante varios días finalmente decidieron pagar un rescate de 40 bitcoins (aproximadamente 17.000$ en ese momento) para poder recuperar la normalidad de sus sistemas de información.
El entorno sanitario es y será siempre el objetivo principal de los ciberdelincuentes dada la gran cantidad de datos sensibles que las organizaciones almacenan. De entre todos, hoy en día, el ransomware es una de las mayores amenazas por su simplicidad pero, al mismo tiempo, su peligrosidad. En los próximos meses veremos cómo aumenta el número de ataques de este tipo y debemos estar preparados para ello porque será casi inevitable que antes o después nos infectemos.
El entorno sanitario es y será siempre el objetivo principal de los ciberdelincuentes
¿Habéis tenido experiencia con este tipo de virus? ¿Cómo afectó a las organizaciones que lo sufrieron?
..Pedro Gonzalo. Hablando de eSalud
