J.L.G.
El sonado ciberataque sufrido en marzo de 2023 por el Hospital Clínic de Barcelona, uno de los más graves que ha tenido una organización sanitaria en nuestro país en los últimos años, tuvo la autoría reconocida del grupo cibercriminal RamsonHouse. Este es precisamente uno de los nombres que aparecen en un reciente informe elaborado por x63Unit, una unidad multidisciplinar especializada en ciberinteligencia perteneciente a Cipher (la división de ciberseguridad del Grupo Prosegur) y que desvela las identidades de algunos de los principales cibercriminales que achacan al sector sanitario.
Debido a la naturaleza de sus datos, el sector sanitario es uno de los entornos más críticos para cualquier sociedad. En paralelo, supone uno de los principales blancos de los ciberdelincuentes. Según un informe difundido en 2023 por la Agencia de Ciberseguridad de la Unión Europea (Enisa en inglés), el 53% de los incidentes cibernéticos se dirigieron a proveedores de servicios sanitarios, siendo los hospitales el principal objetivo.
Desde esta unidad especializada subrayan que se ha batido durante el año pasado un “récord histórico”: alrededor de 40 millones de pacientes se han visto afectados por filtraciones de sus datos personales, historiales médicos y otras informaciones confidenciales.
“Pero, lo más grave de todo, son las consecuencias que tienen los ataques para el normal desarrollo de un servicio dirigido a garantizar el derecho a la salud y el bienestar de las personas”, destacan. El impacto económico asociado a estas amenazas es potencialmente elevado. En especial en el sector sanitario, cuyo coste ascendió a casi 11 millones de dólares.
El 53% de los incidentes cibernéticos se dirigieron a proveedores de servicios sanitarios, siendo los hospitales el principal objetivo
No obstante, la tarea de identificar a los atacantes es una de las más difíciles. Desde x63Unit informan tanto de sus identidades, las herramientas que utilizan y las vulnerabilidades de las que se nutren. El objetivo, cuentan, es ampliar los límites de seguridad que tienen las medidas tradicionales y anticiparse a ellas, para así actuar de forma proactiva ante posibles futuros ataques.
Al respecto, han analizado en el informe alrededor de un centenar de vulnerabilidades explotadas por los cibercriminales en el sector sanitario.
Lockbit, adversario de riesgo
En el ámbito de los ciberataques de ramsonware (que bloquea el acceso a los datos hasta el pago de un rescate), además del grupo cibercriminal que atacó el Clínic, están otros dos: Lockbit y Blackcat. RamsonHouse destaca por su especialización en ataques dirigidos a exponer vulnerabilidades críticas en la seguridad de datos. Lockbit emerge como un adversario de alto riesgo por su constante evolución técnica. Mientras que Blackcat, implementando ransomware-as-a-service, utiliza técnicas avanzadas para comprometer sistemas de forma significativa.
FIN8, APT41 y APT22
Otro tipo de ciberataques son los de amenazas avanzadas persistentes (APT, por sus siglas en inglés). En el informe se concluye, tras la investigación de x63Unit, que estos realizan labores de espionaje con la misión de extraer información sensible.
Detrás de estas bandas están los nombres crípticos de FIN8, APT41 y APT22. Estas tres representan las mayores amenazas de espionaje, con FIN8 centrado en comprometer TPV para el robo de información financiera. Por su parte, APT41 ejecuta campañas globales de espionaje, atacando infraestructuras críticas sanitarias, mientras que APT22 se especializa en ataques prolongados contra la investigación oncológica, explotando vulnerabilidades en servicios web públicos.
Ataques ‘hacktivistas’ DDoS
Este movimiento es quizá uno de los más conocidos: se basa es el uso de la tecnología y la piratería informática, fundamentalmente, para promover causas sociales o políticas. En el sector sanitario, estos grupos se han centrado sobre todo en ataques de tipo DDoS (ataque de denegación de servicio distribuido), “que pueden ser muy perjudiciales cuando afectan a servicios críticos”. Killnet (ahora ‘Black Skills’) y Anonymous Sudán, recurren a tácticas de este tipo para impulsar agendas políticas y sociales, afectando directamente a servicios sanitarios esenciales.
Sappire, Olive y Teal
Estos tres nombres de bandas cibercriminales operan como IAB’s (Initial Access Brokers). Es decir, especializados en vender accesos a empresas, facilitando que otros cibercriminales ejecuten sus ataques. Hacen más sencillo el acceso a las intranets. Sapphire lo hace en las específicas en salud; Olive en distintos ámbitos y Teal en la venta de accesos a infraestructuras de investigación oncológica.
Divulgación no autorizada de datos confidenciales
Por último, en esta clasificación del informe abordan los casos de organizaciones criminales como Jade, Violet y Bronze Cosmos Taurus. Sus actuaciones se centran en la venta de filtraciones, con la divulgación no autorizada de información confidencial. Esto es, desde credenciales hasta bases de datos de pacientes, exponiendo tanto a individuos como a entidades de la infraestructura sanitaria.