Datos sanitarios: el gran botín de la ciberdelincuencia
Según el Cesicat, entre enero y marzo 2.700 millones de datos han sido expuestos
BarcelonaEn enero de 2018 las autoridades sanitarias del sureste de Noruega admitieron la existencia de una brecha de seguridad en su página web que habría facilitado que unos hackers tuvieran acceso a datos de más de 2,9 millones de ciudadanos. A principios de este año un agujero en la base de datos Breed Ready dejaba expuestos los datos médicos de casi dos millones de mujeres chinas clasificadas por su potencial para ser madres. Son sólo algunos de los casos más recientes de la filtración, robo y comercialización de datos sanitarios presentes en la red en todo el mundo. Entre enero y marzo de este año, según el último informe de tendencias de ciberseguridad del Centro de Seguridad de la Información de Cataluña (Cesicat), al que ha tenido acceso el ARA, 2.700 millones de datos personales de alrededor del mundo han quedado expuestos a la red, principalmente por errores de configuración. Es el doble que en el año 2018 -el total de datos expuestos ese año fue de 1.300 millones-. La exposición de estos datos ha permitido que se robaran y vendieran más de 860 millones de datos personales. Un 30% son datos sanitarios.
Uno de los motivos que explica el incremento de la exposición de datos -sanitarias y de todo tipo- es el escape que sufrió la empresa de verificación de correos electrónicos de Estonia Verifications.io en cuatro bases de datos que sumaban 2.200 millones de usuarios y contraseñas, lo que supone la brecha más grande en la red de la historia. El informe del Cesicat se centra únicamente en el primer trimestre del año, pero los últimos ciberataques hechos públicos constatan la tendencia al alza del fenómeno. Por ejemplo, la ciudad estadounidense de Baltimore, el municipio con más población del estado americano de Maryland, tuvo entre mayo y junio la red gubernamental secuestrada por unos hackers que pedían 100.000 dólares en bitcoins para liberar los datos. Los servicios esenciales -policía, bomberos o hospitales- no se vieron afectados, pero los ciudadanos no podían pagar las facturas, los correos electrónicos oficiales no funcionaban y los funcionarios no podían trabajar. Las autoridades se negaron a pagar pero se estima que el ataque les costó unos 18 millones de dólares en pérdidas.
Datos valiosos
¿A quién interesan y por qué nuestros datos sanitarias? Con ellas se puede llegar a crear una identidad falsa y operar, estafar a las aseguradoras o extorsionarlas a cambio de la no difusión o comercialización de esta información. Según el informe del Cesicat, el mercado sanitario supone un "polo de atracción" constante para los ciberdelincuentes. Sólo en Estados Unidos, este primer trimestre del año se han identificado 96 fugas de datos en el sector que han afectado a 3,5 millones de personas. El informe señala que esto supone triplicar el número de personas afectadas durante el primer trimestre de 2018, que era de 1,1 millones. "Cuanto más relevantes son los datos más valor tienen. Mi DNI no dice tanto de mí como mi historial o el medicamento que me tomo", explica el director del Cesicat, Oriol Torruella.
Los datos sanitarios son muy apreciados en la 'dark web', la cara oculta de internet a la que no tienen acceso los buscadores. Esto es así porque son especialmente útiles en delitos de suplantación de identidad, fraude financiero o chantaje, explica el informe. Torruella pone un ejemplo práctico a la hora de entender cómo funciona la extorsión que practican los ciberdelincuentes con este tipo de información. "Si alguien te dice «Págame 100 euros o daré tu número de la Seguridad Social», seguramente nadie les pagará, pero en cambio si la amenaza es explicar, por ejemplo, que alguien padece una enfermedad de transmisión sexual que tiene todo el derecho a no hacer pública, la presión será mucho más fuerte". El precio de los datos sanitarios en la 'dark web' puede llegar a ser diez veces más alto que el de los datos bancarios.
La gran vía de extorsión, sin embargo, son las empresas y las administraciones, que acaban pagando para recuperar la información que debían haber protegido. Recientemente, un ataque de ransomware cifró los datos médicos de casi 400.000 pacientes de la organización de salud Columbia Surgical Specialists (EE.UU.). La organización pagó casi 15.000 dólares para recuperarlos, ya que no podían acceder a los informes médicos de los pacientes que debían operar ese mismo día.
Errores de configuración
El informe del Cesicat recoge los ataques cibernéticos que más eco han tenido a nivel mundial, pero Torruella recuerda que "Cataluña no es una excepción" y las empresas y los usuarios están tan expuestos como los del resto del mundo. De hecho, a pesar de la importancia de los ciberataques y robos, según el informe del Cesicat la gran amenaza son los propios errores de configuración que cometemos los ciudadanos y las mismas empresas de servicios. La gran mayoría de los 2.700 millones de datos expuestos durante este primer trimestre del año no estaban suficientemente protegidos y esto ha facilitado, según el informe del Cesicat, el robo y la venta de hasta 860 millones de datos. El ejemplo más claro es la publicación de la página web Have I Been Pwned? Los responsables de la web obtuvieron de un foro criminal el grupo de bases de datos Collection # 1', que contenía 773 millones de direcciones de correo electrónico, y las han publicado para que todos puedan saber si su cuenta está comprometida. Casi 36.000 registros con correos electrónicos y contraseñas identificados correspondían a dominios .cat de Cataluña.
El informe destaca que esta situación se podría evitar "si todos los responsables de bases de datos almacenaran las contraseñas cifradas", lo que evitaría que los ciberdelincuentes hicieran uso de ellas. También recomienda a los usuarios "utilizar contraseñas más complejas" y evitar la "reutilización". Según Cornudella, en Cataluña, como en el resto del mundo, las empresas y los usuarios no hacen los deberes en este sentido. "Hay que tener la conciencia de que cada vez que nos registramos en una web le estamos explicando cosas sobre nosotros", recuerda. Por ello recomienda primar la seguridad por encima de la comodidad y optar por contraseñas más complejas y variarlas, en el caso de los usuarios; en lo que a las empresas se refiere, el informe recomienda cifrar las bases de datos. "Hay que desarrollar una política de seguridad más activa a todos los niveles", concluye.
