Ataques de 'ransomware': ¿qué son, qué hacen y qué peligro implican?
Grupos como el relativamente nuevo Ransomhouse, detrás del ciberataque al Clínic, venden los datos personales que consiguen
BarcelonaEl ciberataque sufrido este domingo por el Hospital Clínic, que ha obligado a parar gran parte del funcionamiento del centro, ha sido de tipo ransomware, el mismo que en octubre golpeó a tres centros sanitarios catalanes y que supuso la publicación de 52 gigas de datos personales y sensibles de los usuarios. ¿En qué consiste este tipo de ataque? ¿Quién está detrás? ¿Cuál es el peligro de exponer datos de tipo médico? Lo hablamos con expertos en ciberseguridad.
¿Qué son los ataques ransomware?
Son un tipo de ciberataques que consisten en secuestrar toda la información posible de una empresa o institución, cifrarla y exigir un rescate. "Estamos hablando de documentos de Word y Excel, fotografías, vídeos... Si se quiere acceder a estos datos, hay que pagar", explica Jordi Serra, profesor de la UOC y experto en ciberseguridad, que añade que normalmente los atacantes acostumbran a dejar un archivo, en forma de "tarjeta", explicando quiénes son y cómo se les tiene que pagar si se quieren recuperar los datos. Es un "chantaje" con el objetivo de conseguir dinero, resume.
¿Quién está detrás de estos ataques?
Jordi Herrera, profesor de ingeniería de la información y las comunicaciones de la UAB, explica que "normalmente son organizaciones criminales a gran escala, empresas que se dedican a hacer ataques informáticos para lucrarse ". A menudo están activos unos años y "desaparecen" cuando les pillan o cuando han cobrado por un rescate, añade Serra.
¿Qué es Ransomhouse?
El grupo que el Govern y el Clínic han identificado detrás del ataque al hospital, Ransomhouse, es "relativamente nuevo", según Serra. "Su primer ataque que consta en la deep web es de 2021. En 2022 constan unos cuantos y en 2023, dos o tres. El del Clínic todavía no está publicado", precisa. Según ha informado el director general de la Agència de Cibersecuretat de Catalunya, Tomàs Roy, los atacantes han actuado desde fuera del Estado y con "técnicas nuevas". A pesar de haberlos identificado, todavía no se habrían puesto en contacto con el Clínic para exigir un rescate.
¿Qué cantidad de dinero se acostumbra a reclamar?
El dinero que se exige a cambio de la devolución de los datos secuestrados puede variar mucho en función del caso. "Depende mucho del tipo de empresa. Los atacantes estudian antes cuánto se puede llegar a pagar", apunta Serra, que deja claro que los rescates pueden ir perfectamente desde los 4.000 o 5.000 euros hasta el millón de euros o más.
¿Es recomendable pagar el rescate?
El Govern ha garantizado que, en el caso del Clínic, "no habrá ningún tipo de negociación para pagar ni un céntimo". Y es que, según los expertos consultados, no es recomendable pagar el dinero exigido por los ciberdelincuentes. Si Herrera afirma que "no se puede tener la certeza de que pagando recuperes nada", Serra destaca que, aunque con el pago se devuelvan los datos, los atacantes "ven que puedes pagar fácilmente" y "nadie te asegura que unos días después no vuelvan a hacer lo mismo".
¿Cuál es el peligro de que se difundan datos personales?
Los datos secuestrados, en este caso médicos, se pueden acabar vendiendo al dark web, donde los grupos dedicados a la ciberdelincuencia "los compran y venden entre ellos", explica Serra. El motivo: "Hacer campañas de phishing , por ejemplo. Si conoces la patología de una persona, es más fácil que clique en un correo personalizado. Y de aquí se podría acceder a su ordenador, a su banco...". "También te permite realizar ataques más sofisticados: si se encuentran contraseñas de una persona en un lugar, puede ser que utilice las mismas en otras", añade Herrera.
¿Cuánto tiempo se tarda en recuperar el sistema atacado?
El Hospital Clínic ha asegurado que dispone de copias de seguridad de la información bloqueada, si bien el sistema informático del centro sigue afectado y, hoy por hoy, no está claro cuándo recuperará su funcionamiento habitual. "Los ataques de ransomware son relativamente fáciles de mitigar si tienes copias, pero entonces hay que identificar el punto de entrada por el cual se ha atacado el sistema", explica Herrera. Coincide en ello Serra, que destaca que "absolutamente todo, esté cifrado o no, está comprometido" después de un ataque como este. "Lo primero que se hace es no tocar absolutamente nada hasta saber por dónde han entrado los atacantes y cerrar esta puerta. Si no lo hacemos, el agujero seguirá estando", remarca. Según los expertos, este proceso suele durar entre unos días y una semana.
¿Se pueden prevenir estos ataques?
Para Serra, no hay manera de prevenir al 100% un ciberataque a una empresa o institución. "Todo el mundo tiene una puerta en Internet y, como casa, puedes tener una puerta mejor o peor, pero es una cuestión de tiempo que se pueda cruzar". Lo que sí que se puede hacer, añade, es estar prevenido para actuar "rápidamente" si se produce el ataque. A su parecer, cada vez más empresas y administraciones invierten en ciberseguridad, pese a no siempre estar dispuestas. "La importancia de la inversión en elementos de seguridad informática no está tan clara hasta que no se produce un desastre", sentencia Herrera, que también apunta a la falta de formación de técnicos en ciberseguridad.