El Hospital Clínic no tenía medidas de seguridad para protegerse del ciberataque
El Gobierno sanciona al centro sanitario por no prevenir la intrusión que acabó con el robo y filtración de datos confidenciales
BarcelonaEl Hospital Clínic incumplía las medidas de seguridad informática cuando recibió el ciberataque del grupo RansomHouse; una intrusión que acabó con la filtración de miles de datos personales de pacientes, trabajadores, estudios médicos y del propio centro. Ante estos hechos, la Autoridad Catalana de Protección de Datos (APDCAT) ha sancionado al hospital porque no evaluó correctamente el riesgo asociado a los datos sanitarios que trata ni tomó las medidas que se le requieren. En concreto, este organismo que cuelga del Govern determina que el Clínic infringió la normativa de protección de datos y también su responsabilidad en el tratamiento de datos confidenciales.
Según la Generalitat, el Clínic no tenía implementadas las medidas de seguridad de detección y contención para una prevención mínima. La sanción también afecta a tres entidades que cuelgan del hospital: el Consorcio de Atención Primaria de Salud Barcelona Esquerra (CAPSBE), el Instituto de Investigaciones Biomédicas August Pi i Sunyer (Idibaps) y Barnaclínic, que se dedica a la medicina privada. Ahora el ejecutivo les obliga a informar de la implementación de medidas correctoras y de su cumplimiento hasta 2026, pero no les impone ninguna sanción económica.
De acuerdo con la resolución de la APDCAT, el Hospital Clínic “no implementó las medidas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos asociados a los tratamientos de datos”. Si se hubieran tomado estas medidas, el hospital habría sido más protegido frente a un ciberataque y en una mejor capacidad de detección y respuesta, recoge la resolución. El Gobierno defiende que el centro pudo minimizar los efectos adversos, tanto en lo que se refiere a la filtración de datos sanitarios confidenciales como por la interrupción de la asistencia sanitaria. El ciberataque obligó al hospital a anular operaciones y sesiones de radioterapia programadas.
En cuanto a las otras tres entidades que dependen del hospital, la APDCAT determina que no adoptaron las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los datos. La resolución también recoge que no realizaron el análisis de los riesgos. Según informa el ACN, Barnaclínic ya ha interpuesto un recurso contencioso administrativo contra la resolución del procedimiento sancionador.
"El riesgo cero no existe"
Fuentes del hospital han recordado que, desde que tuvieron constancia del ciberataque, trabajaron con el Govern para enmendar el error. "Hemos estado trabajando desde el primer día con la Agencia de Ciberseguridad de Catalunya. El riesgo cero no existe", defienden. Meses después del ataque, sus autores publicaron un paquete de datos de casi 4,5 terabytes. El robo contenía todo tipo de datos personales de trabajadores, como nombres y apellidos, DNI, currículos, listas de contraseñas de diferentes servicios online, números de cuentas bancarias e incluso firmas escaneadas. También de pacientes –a menudo identificados con nombre y apellidos– como informes de seguimiento de estudios médicos de fármacos para diferentes tipos de cáncer y registros de donaciones de órganos y tejidos y de analíticas de muestras y biopsias. Además, también se robaron documentos de investigación y trabajo, como borradores de artículos científicos y protocolos médicos.