Ciberatac al Clínic: noves amenaces dels ciberdelinqüents i dades fora de control

El ciberatac a l'Hospital Clínic de Barcelona continua, i el grup que va robar dades i va bloquejar-ne l'operativa, Ransom House, ha amenaçat aquest dijous amb fer públiques més dades confidencials de pacients.

Ho ha fet amb una publicació a Telegram l'endemà que els Mossos bloquegessin l'accés als servidors, on havien penjat més de 3 gigues de dades mèdiques robades fa un mes.

En la publicació, avançada per Vilaweb, amenacen de fer públiques dades de pacients amb malalties infeccioses, i també d'altres que estan en assajos clínics amb nous medicaments en marxa a l'hospital.

"No estem provocant els cibercriminals"

El director de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy, ha assegurat que la nova amenaça no respon al bloqueig dels Mossos, sinó que l'haurien fet igualment, tot i que era una reacció previsible:

"No estem provocant els cibercriminals, ells fan el que fan habitualment, cometre delictes i extorsions per aconseguir diners, i de moment l'únic que està passant és que han de posar més recursos perquè se'ls està complicant la seva activitat."

Entrevistat pel programa "Els matins" de TV3, ha afirmat que les dades publicades pels delinqüents dijous provenien de carpetes temporals de professionals de l'hospital:

"No hi ha hagut una pèrdua de les dades sanitàries de la població, són dades que es troben en carpetes que utilitzaven els metges, són dades temporals de treball."

El director de l'agència, però, ha admès que no saben quina informació concreta tenen els ciberdelinqüents, que asseguren que van endur-se més de 4.000 gigues de dades diverses.

Per la seva banda, l'hospital no ha volgut valorar la nova amenaça, i ha recordat que hi havia còpia de seguretat de les dades robades, i que no es demanarà més informació als pacients.

Una solució temporal amb un cost elevat

El bloqueig dels servidors per part dels Mossos, però, és una mesura temporal que té un cost elevat i que, a més, no evita que els delinqüents puguin utilitzar altres servidors.

Ho afirma Jordi Serra, professor d'Informàtica a la Universitat Oberta de Catalunya, que considera que a termini mitjà la mesura dels Mossos no tindrà gaires conseqüències:

"Jo crec que no té gaire sentit, perquè si tens una web i te la bloquegen, la pots muntar en un altre lloc, i a la web fosca això encara és més fàcil."

Pagar garanteix que esborrin les dades?

Serra, que afirma que aquest dijous ha pogut comprovar que la web de Ransom House encara no està operativa, creu que és pràcticament impossible evitar que les dades robades circulin:

"Un cop fet l'atac, poc es pot fer, i no pots confiar que el ciberdelinqüent, un cop hagi cobrat, esborrarà les dades, no tenen per què esborrar-les."

No està gaire d'acord amb això Marc Rivero, expert en ciberseguretat a La Salle-Ramon Llull, que considera que el cibercrim té uns codis de conducta establerts:

"Hem d'entendre com funciona aquest negoci. Aquests criminals es basen en la seva paraula que, si pagues, et tornaran la informació i l'esborraran; si no ningú pagaria."

Rivero és del parer que, després de fer-se públic el contraatac policial als seus servidors, ara la Generalitat o els mateixos Mossos es poden convertir en objectiu preferent dels ciberdelinqüents.

Pagar el rescat és il·legal

Rivero afirma que hi ha informes que quantifiquen en milers de milions d'euros en bitcoins els pagaments a ciberdelinqüents al món, cosa que evidencia que és un negoci molt lucratiu.

El problema és que pagar els rescats és il·legal, perquè contribueix a finançar el crim organitzat. Els atacants del Clínic han reclamat 4 milions i mig de dòlars de rescat, més de 4 milions d'euros.

Pel que fa a l'atac dels Mossos a la web de Ransom House, Rivero considera que podria ser una bona estratègia si qüestionés la capacitat dels ciberdelinqüents per operar.

En aquest sentit, en el missatge d'aquest dijous els ciberdelinqüents pregunten als Mossos si han actuat dins de la legalitat, fent servir un atac de denegació de servei per tombar-los els servidors:

"Volem fer una pregunta a la policia: s'han legalitzat els atacs DDOS?"

També afirmen que, gràcies a l'atac, han canviat "a una nova solució per distribuir els arxius que és molt més ràpida" que la que feien servir fins ara, i donen les gràcies als Mossos:

Comunicado oficial del grupo RansomHouse después de sufrir el ataque DDoS de los Mossos por el ataque al Hospital Clínic de Barcelona

➡️Anuncian que publicarán datos pacientes con enfermedades infecciosas y el uso de drogas experimentales con abuelos pic.twitter.com/vC8YWfVkHH

— elhacker.NET (@elhackernet) April 6, 2023

L'encriptació de les dades i el suport local dels delinqüents

Serra diu que és pràcticament impossible evitar atacs informàtics com el del Clínic, però que si les dades haguessin estat encriptades, s'hauria impedit que després es pogués extorsionar els pacients.

En aquest sentit, Rivero apunta que, per poder valorar la informació robada per utilitzar-la per fer aquestes extorsions, els delinqüents sovint s'associen amb algú del país que conegui la llengua i el tarannà:

"És habitual en els grups de cibercriminals aconseguir suport local per entendre la idiosincràsia del país que estan atacant; això passa des de fa 10 o 15 anys."

Rivero també explica que possiblement els Mossos, amb un requeriment internacional, han pogut esbrinar on són físicament els servidors que ha fet servir Ransom House, i que això podria permetre identificar els delinqüents.