Las empresas del ámbito sanitario son las que más ciberataques han sufrido en España durante la primera mitad de 2024. El 78% además ha llegado a pagar rescates alos hackers por un valor medio de 440.000€
El Estado Global de la Seguridad CPS 2024
La empresa de protección de sistemas de ciberseguridad Claroty ha elaborado el informe «El Estado Global de la Seguridad CPS 2024: impacto empresarial de las interrupciones«. Según este informe el 78% de los hospitales habría reconocido que han pagado a ciberdelincuentes rescates superiores a los 440.000 euros para recuperar el acceso a los sistemas y archivos cifrados. Este porcentaje es inferior al 53% en el resto de los sectores afectados por ciberataques analizados por esta empresa de ciberseguridad.
The Objective se hace eco de la entrevista realizada a personal directivo de Claroty: «Los hospitales son un objetivo cada vez más claro por diferentes motivos. En primer lugar, por el económico, porque pueden obtener rédito de esos datos en la dark web, por ejemplo; por otro lado, a nivel de ruido, si alguien quiere darse difusión es una manera bastante grande de entrar por la puerta grande; y luego, por los ataques dirigidos por algún interés concreto, es decir, que a alguien le interese atacar a esa entidad por algún motivo específico»
El sector sanitario a la cabeza en ciberataques sufridos
Durante el primer semestre de 2024, el sector sanitario es el que más ciberataques ha recibido en España. Según diversos informes, este sector habría sido víctima de 2.361 ataques semanales, por delante del educativo, con 2.053, y el de las comunicaciones, con 1.622. Cifras conocidas, sin contar, obviamente, aquellos ciberataques que no han sido detectados.
En julio, un ciberataque dejó al descubierto datos personales de 50.000 profesionales de los tres principales hospitales de Granada -Virgen de las Nieves, San Cecilio, en la capital; y Santa Ana, en Motril-. Los datos que vieron la luz por culpa del ciberataque fueron, entre otros, nombre y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas de muchos de los profesionales sanitarios que trabajan tanto en los hospitales como en los centros de salud de estas áreas de gestión granadinas.
El ciberataque más sonado de los últimos meses ha sido el que sufrió el Hospital Clinic de Barcelona en marzo de 2023. El incidente afectó al normal funcionamiento del servicio de urgencias, laboratorio y farmacia, obligando a realizar los trámites informáticos a mano. También provocó la suspensión de 4.000 analíticas y el aplazamiento de más de 11.000 consultas externas. Los ciberdelincuentes solicitaron un rescate de 4,5 millones de dólares por la información cifrada, que constituía cerca de 4,5 terabytes, pero el Govern de Cataluña declaró en uno de sus comunicados que no se efectuó dicho pago.
¿Qué consecuencias legales puede tener pagar un rescate a ciberdelincuentes?
En la Unión Europea, según Protección Data, no se sanciona administrativamente el pago de un rescate, ya que no existe una estrategia común. En el caso de España, ninguna norma prohíbe expresamente este pago. No obstante, se podría perseguir penalmente a quien atienda finalmente el pago de un rescate tras un ciberataque, al considerarse colaboración con un grupo u organización criminal, un acto contrario a la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo. De ahí el secretismo que rodea al pago de un rescate a ciberdelincuentes.
Para evitar los daños operativos, económicos y reputacionales derivados de un ciberataque, los hospitales y empresas sanitarias necesitan aumentar su inversión en ciberseguridad y no olvidar comunicar el incidente a los afectados si existe un riesgo alto para sus derechos y libertades. Si no quieren sufrir además fuertes multas, deben comunicarlo a la autoridad de control antes de 72 horas. Si bien es difícil localizar a los atacantes, también, deben informar del ciberataque a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica de la Policía Nacional y al Grupo de Delitos Telemáticos de la Guardia Civil.