Los hospitales, la mina de oro de los hackers: el 78% paga rescates en torno a 440.000 euros
Las empresas del sector sanitario son las que más ciberataques han recibido en España en el primer semestre de 2024
Fachada de un hospital público. | EP
Los hospitales se han convertido en un objetivo muy apetecible para los hackers. Guardianes de datos muy sensibles, los ciberdelincuentes han encontrado su mina de oro en los centros hospitalarios, que se ven obligados a pagar altas sumas de dinero para salvaguardar una información tan delicada como los datos sanitarios, muy bien valorados en el mercado negro.
El 78% de los hospitales reconoce que ha atendido peticiones de rescate superiores a los 440.000 euros para recuperar el acceso a los sistemas y archivos cifrados. Son cifras desveladas en el último informe ‘El Estado Global de la Seguridad CPS 2024: impacto empresarial de las interrupciones’, hecho por la empresa de protección de sistemas de ciberseguridad Claroty. Ese porcentaje cae al 53% en el resto de empresas encuestadas víctimas de ciberataques.
«Los hospitales son un objetivo cada vez más claro por diferentes motivos. En primer lugar, por el económico, porque pueden obtener rédito de esos datos en la dark web, por ejemplo; por otro lado, a nivel de ruido, si alguien quiere darse difusión es una manera bastante grande de entrar por la puerta grande; y luego, por los ataques dirigidos por algún interés concreto, es decir, que a alguien le interese atacar a esa entidad por algún motivo específico», cuenta a THE OBJECTIVE José Antonio Sánchez, director comercial para la península ibérica de Claroty.
El directivo apunta que si tenemos en cuenta todos los tipos de asaltos que puede recibir un hospital (robo de credenciales, robo de información, bloqueo de servicio de salud), «pueden producirse más de 39.000 ataques a lo largo de un año, detectados y contrarrestados en solo uno de los sistemas de salud públicos del territorio español». Y es que el gran abanico de elementos potencialmente atacables en el ámbito hospitalario –ordenadores, dispositivos médicos, cámaras, máquinas de vending, tornos de seguridad, cerraduras, aires acondicionados…– hacen de él un escenario muy apetecible para los ciberdelincuentes. «Es el lugar perfecto para atacar», explica el experto.
El sector sanitario, el que más ciberataques recibe
Durante los seis primeros meses de 2024, las empresas e instituciones del sector sanitario son las que más ciberataques han recibido en España. Según revela un informe de Check Point, este sector fue víctima de 2.361 ataques semanales por compañía, por delante del educativo, con 2.053, y el de las comunicaciones, con 1.622.
La situación de España varía si se compara con las cifras globales, en las que el sector sanitario es el tercero más afectado, con 1.578 ataques de media, superado por los ámbitos de educación e investigación y el gubernamental y militar, con 2.313 y 1.632, respectivamente.
En julio, un ciberataque dejó al descubierto datos personales de aproximadamente 50.000 profesionales de los tres principales hospitales de Granada -Virgen de las Nieves, San Cecilio, en la capital; y Santa Ana, en Motril-. Los datos que vieron la luz por culpa del ciberataque fueron, entre otros, números del DNI, teléfonos, correos corporativos y claves tanto de los sanitarios como del resto del personal.
El ciberataque más sonado de los últimos meses ha sido el que sufrió el Hospital Clinic de Barcelona en marzo de 2023. El incidente afectó al normal funcionamiento del servicio de urgencias, laboratorio y farmacia, obligando a realizar los trámites informáticos a mano. Además, implicó la suspensión de 4.000 analíticas y el aplazamiento de más de 11.000 consultas externas. Los responsables del ciberataque solicitaron un rescate de 4,5 millones de dólares por la información cifrada, que constituía cerca de 4,5 terabytes, pero el Govern declaró en uno de sus comunicados que no se efectuó dicho pago.
¿Es legal pagar por un ciberataque?
El directivo de Claroty señala que lo más habitual es el robo de datos para luego pedir un rescate económico por ellos. ¿Es legal pagar por un ciberataque? En la Unión Europea, según Protección Data, no se sanciona administrativamente el pago de un rescate, ya que no existe una estrategia común. En el caso de España, ninguna norma prohíbe expresamente este pago. No obstante, se podría perseguir penalmente a quien atienda finalmente a estas peticiones al considerarse colaboración con un grupo u organización criminal, un acto contrario a la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo. De ahí el secretismo que rodea al pago de un rescate. «Imagínate que has pagado, imagínate que te restauran el servicio, pero, ¿quién te dice que no te vayan a volver a hacer lo mismo? Tu información ya la tienen, tu vida ya no la tienes en tu poder», subraya José Antonio Sánchez.
