En plena segunda ola de COVID-19, los hospitales se han convertido en un objetivo vulnerable para la ciberdelincuencia. Ahora, el FBI advierte de que una nueva botnet ha puesto el foco en los servicios sanitarios.
A finales de octubre, el FBI y el Departamento de Seguridad Nacional de los Estados Unidos emitieron una alerta sobre una inminente oleada de ataques informáticos contra hospitales y proveedores de materiales y servicios sanitarios.
En concreto, el FBI avisaba de la detección de un enjambre de software dañino (lo que se conoce como botnet) llamado TrickBot, dirigido específicamente al sector sanitario y cuyo objetivo es tanto el robo de datos sensibles como el secuestro de equipos.
Lo que empezó como un troyano bancario, ahora ofrece un abanico completo de herramientas para la ciberdelincuencia que permiten hacerse con credenciales, distribuir programas de criptominería, robar datos y desplegar ransomware como Ryuk.
En Norteamérica, ya son más de seis los hospitales afectados por esta botnet en las últimas semanas y varios medios han recordado que el virus se propaga sobre todo mediante spam e infecta dispositivos que luego funcionan como «máquinas zombis».
Los ciberataques se han disparado en toda Europa
Los centros médicos de los Estados Unidos no son los únicos que están sufriendo un aumento de los ataques. En septiembre, una mujer murió en Alemania debido al secuestro de los servidores del hospital en el que esperaba tratamiento. En España, en 2019 se detectaron 50 000 ciberataques contra organizaciones del sector de la salud, de los cuales 375 tuvieron éxito.
El Centro Criptográfico Nacional (CCN) advierte de que es previsible que la tendencia se «acelere durante 2020, y de hecho, ya se han registrado ataques contra organizaciones y laboratorios implicados en la lucha contra el coronavirus».
Que se tenga constancia, en enero un hospital madrileño sufrió cierto colapso y en septiembre otro en Barcelona vio inutilizado parte de sus servidores.
Ante esta situación, en abril de este año la Interpol remitió un comunicado a los 194 países miembros acerca del aumento significativo de campañas con ransomware dirigidas a hospitales e infraestructuras involucradas en la lucha contra el virus.
Mecánica habitual de los ataques de ransomware
Muchas veces, los programas maliciosos navegan sin rumbo por la red. Es decir, que el ataque no tiene un blanco concreto. Pero, en otras ocasiones, las mafias informáticas buscan brechas de seguridad en organizaciones escogidas con el objetivo de pedirles rescates acordes a sus ingresos.
Por lo general, el programa dañino se entrega mediante correo electrónico. A menudo, el mensaje afirma contener información o indicaciones sobre la COVID-19, lo que induce a la víctima a clicar el enlace o abrir el adjunto infectado. Algunos expertos también han detectado que estos emails utilizan la imagen de organizaciones como la OMS o la UNICEF para darles más credibilidad.
Una vez que ha penetrado en la red corporativa, el programa se propaga por todos los dispositivos conectados, roba la información y cifra los archivos, a la espera de que las víctimas paguen un rescate para no perder los contenidos o ver cómo estos se filtran o se venden al mejor postor.
Los hackers explotan cualquier vulnerabilidad
Entre las razones principales por las que los hospitales se han convertido en uno de los blancos preferidos de los ciberdelincuentes —al margen, obviamente, del valor de los datos que manejan—, están el cansancio de los profesionales y la debilidad de muchos sistemas de seguridad online.
Por una parte, la extenuación de los sanitarios tras meses de alta tensión hace que sea más fácil que caigan en una trampa. Efectivamente, el 90 % de los piratas penetran en los sistemas mediante campañas de phishing con las que engañan a los receptores.
Este 27 de noviembre, por ejemplo, salía a la luz como unos piratas informáticos han atacado a AstraZeneca, una de las fabricantes de la vacuna contra la COVID-19: haciéndose pasar por reclutadores, abordaban al personal de la farmacéutica en LinkedIn y WhatsApp con falsas ofertas de trabajo que contenían código malicioso.
Esto, sumado a la desactualización de los equipos informáticos y del software con el que trabajan muchos centros, además de la falta de herramientas y profesionales especializados en ciberseguridad, entre otros factores, hacen que la brecha sea más accesible para los atacantes.
Cómo hacer frente a esta amenaza
Por ahora, los centros médicos españoles están logrando eludir los ataques bastante bien. Pese a ello, todos los organismos oficiales internacionales recomiendan tomar precauciones para protegerse. El FBI, por ejemplo, exhorta a las instituciones del sector sanitario a tomar las siguientes medidas:
- Vigilar cualquier actividad inusual en sus redes.
- Buscar pruebas de la presencia de Trickbot.
- Cifrar todos los datos que sea posible.
- Hacer copias de seguridad frecuentes.
- Comprobar que se está usando la última versión de todas las aplicaciones y que se solucionan posibles vulnerabilidades.
- Utilizar software para filtrar mensajes sospechosos y bloquearlos.
- Deshabilitar los puertos de RDP.
Igualmente, hay que recordar en todo momento que las conexiones para la teleasistencia y demás puntos de acceso remoto son susceptibles de ataque, por lo que conviene aplicar un sistema de multiautenticación, backup y control de acceso, y monitorizar los registros de acceso.
Si tienes cualquier duda sobre ciberseguridad, en Ubilibet te ayudamos a resolverlas y definir planes a corto, medio y largo plazo de protección normativa, técnica y operativa para resguardar los datos de tu centro o empresa.