Opinión

La otra guerra de los ciberataques que preocupa a todos

Es domingo de mediodía y el Hospital Clínic sufre una inminente caída en sus sistemas. Suenan todas las alarmas mientras los técnicos intentan recuperar la situación que rompe con la rutina acostumbrada: un ciberataque ransomware ha sido perpetrado contra uno de los hospitales más importantes de España. 

No es una agresión cualquiera. Las fuerzas de seguridad del Estado español especializadas en ciberataques y cibervigilancia entran en acción tras verificarse que detrás del incidente que mantiene paralizado al complejo sanitario se encuentra el grupo criminal RansomHouse.

Son un poder delincuencial relevante: actúan en la oscuridad, están deslocalizados y la ciberpolícia no lo tiene fácil para ubicarlos; lo único que se informa a la prensa es que operan desde el extranjero y funcionan con un mismo “modus operandi” para cibersecuestrar la red de la entidad vulnerada a cambio de un rescate económico, solo así podrá ser liberada y recuperarse el control.

El ransomware es una forma de malware que cifra los archivos de una víctima y el atacante exige un rescate a cambio de restaurar el acceso a los datos mediante el pago. “A los usuarios se les muestran instrucciones sobre cómo pagar por “su liberación” para obtener la clave de descifrado; los rescates pueden ir desde unos cientos de dólares, hasta miles, y siempre pagados en Bitcoin”.

Al Clínic le han provocado un enorme problema siendo una infraestructura sanitaria vital. Nada más en las primeras 48 horas del secuestro virtual, el centro paralizó más de 150 cirugías y canceló más de 3.000 consultas; además, dejó de atender todas las urgencias.

Con todo automatizado, hubo que revisar cada una y manualmente las prescripciones médicas de sus pacientes ingresados. La mayor preocupación de la directiva está relacionada con las investigaciones contra el cáncer y las enfermedades raras que lleva a cabo este centro especializado y reconocido por sus numerosos trasplantes y vinculado con el organismo Trasplant Service Foundation.

La hipótesis es que este ataque ha sido perpetrado para robar la información de esas numerosas y valiosas investigaciones contra el cáncer y otras enfermedades raras.

Ni los expertos de la Agencia de Ciberseguridad de Cataluña, ni los Mossos d´Esquadra, han logrado resolver lo más pronto posible el problema lo que revela la vulnerabilidad de las infraestructuras y los perjuicios que pueden provocar estos poderes que operan desde las sombras del Internet.

Tomás Roy, director de la Agencia de Ciberseguridad de Cataluña, declaró al respecto que se trata de un ataque “complejo” y que, al contrario de lo que pasa en estos casos, no sigue el mismo patrón porque incluye técnicas nuevas y más sofisticadas.

Ha sido el primer gran ataque ransomware contra un hospital de envergadura en España y que ha logrado su propósito, considerando que, según fuentes consultadas expertas en ciberseguridad en el país ibérico al menos al día se intentan una decena de ataques contra infraestructuras vitales por parte de “terroristas extranjeros” que actúan en Internet.  

Hace unos meses, en Estados Unidos sucedió un ataque con ransomware contra el proveedor Community Health Systems (CHS) que administra datos de pacientes en una red de 80 hospitales distribuidos por la geografía norteamericana. En esa ocasión, el grupo atacante robó datos de un millón de pacientes hospitalizados.

Esta forma delincuencial cibernética tiene muchos propósitos: desde robar datos electorales, intervenir en los resultados de las elecciones en menoscabo de la democracia y de la confianza hacia las instituciones; cibersecuestrar entidades públicas y privadas relevantes para pedir un rescate a cambio y obtener un beneficio económico; actuar deliberadamente como un actor terrorista para causar un daño en la población y provocar caos, confusión y desorden.

Hay toda una guerra híbrida extendiéndose por diversos países, en distintos ámbitos, y no necesariamente tiene bombas, ni misiles o un ejército invasor. De lo que trata esta nueva forma de alterar y perturbar sobre todo la estabilidad de otros países es de generar un caos mediante atentados cibernéticos; provocar terrorismo; utilizar a las masivas corrientes de migración ilegal como un arma de guerra; beneficiarse de las redes sociales para desinformar, causar confusión y verter un discurso del odio y a favor de la ruptura social. Una guerra híbrida que también se nutre de una guerra biológica por un virus desconocido.

En el caso del virus del SARS-CoV-2, a tres años de distancia de declarada la pandemia, sigue con la interrogante de cómo surgió el patógeno; tampoco, en el cibercrimen, es sencillo detectar a los culpables porque casi siempre están deslocalizados. Son un poder en la opacidad bastante pernicioso e inquietante.

De acuerdo con Cybersecurity Ventures, el cibercrimen va en auge: para 2023, podría tener un impacto cercano a los 8 billones de dólares en el mundo y el pronóstico para, 2025, es de 10.5 billones de dólares.

Reclamo de seguridad

En la última reunión entre Joe Biden y Vladimir Putin, en Ginebra en 2021, el mandatario norteamericano le espetó al líder ruso en la cara su disposición a responder con todas sus capacidades a los ciberataques recibidos de forma acuciante contra Estados Unidos y que pretenden vulnerar oleoductos y hasta los sistemas de sanitización del agua.

En mayo de 2021, quedó secuestrado informáticamente el oleoducto de la empresa Colonial Pipeline dejando sin combustible a 17 estados de la Unión Americana provocando un caos; dos meses antes, en otro ataque cibernético, una planta de tratamiento de agua en Oldsmar, Florida, detectó a tiempo que “alguien” estaba manipulando los niveles químicos de hidróxido de sodio para envenenar el agua de la ciudad.

Como corresponsal yo pude estar presente en este encuentro. En determinado momento, el presidente Biden le lanzó a Putin el siguiente cuestionamiento: “Yo te pregunto, ¿a ti te gustaría que te estuvieran atacando estos ciberdelincuentes, por ejemplo, a tus refinerías? ¿Te gustaría?”.

Después Biden agregó que su país está dispuesto a responder a cada ciberataque con sus máximas capacidades porque “hay que parar a estos criminales del ramsoware” y, de hecho, invitó a Putin a ponerles límite juntos “porque es inaceptable”. Además, le remarcó al líder ruso que existen 16 puntos fundamentales en la infraestructura estadounidense que deben quedar fuera de cualquier ataque porque, si no, responderán.

Para enero del año pasado, el Servicio de Seguridad Federal de Rusia, dio cuenta de la detención de los integrantes del grupo REvil, a petición del FBI fue posible aprehender a catorce miembros que estaban distribuidos en varias partes de la geografía rusa. La Casa Blanca señaló que REvil estaba detrás del ataque contra la empresa de oleoductos Colonial Pipeline.

¿Cómo los encontraron? De acuerdo con la justicia rusa siguiendo la ruta del dinero recibido por sus numerosos cibersecuestros, aunque todas eran operaciones con blockchain.

Hay otro grupo también vinculado con Rusia como es Evil Corp y que está en la lista de los más buscados por Estados Unidos en el renglón del cibercrimen, pero la justicia norteamericana y los servicios de investigación requieren de la cooperación de las autoridades rusas. Algo que no tienen.

Ya el FBI y la Interpol han logrado detener y desmantelar a otros grupos de hackers localizados en Ucrania, Corea del Sur, Rumania y Kuwait; pero no ha sido posible hacer lo mismo en el caso de Evil Corp porque está dentro de Rusia.

Recientemente, el FBI y la Policía Europea, junto con las autoridades alemanas, lograron aprehender en Dusseldorf a una célula de 11 personas de un grupo supuestamente vinculado con Evil Corp; se les acusa de ser responsables de atacar el Servicio Nacional de Salud del Reino Unido y el Hospital Universitario de Dusseldorf a través de la técnica de DoppelPaymer.

“Con el DoppelPaymer han sido publicados datos robados de unas 200 empresas en varias partes del mundo, entre las que se incluyen el sector de defensa de la Unión Americana”, de acuerdo con Brett Callow, analista de la empresa de ciberseguridad Emisosft.

El informe “Ransomware en un contexto global”, elaborado por Virus Total, indica que, en 2020, fueron detectadas más de 130 variantes distintas de ransomware la mayoría vinculadas con los ataques efectuados en dicho año contra 14 de los 16 sectores de infraestructura crítica de Estados Unidos. De hecho, saltaron a tal nivel las alarmas por la vulneración de la seguridad nacional norteamericana, que esos ciberataques masivos fueron los que propiciaron la motivación de Biden para reunirse con Putin en Ginebra, en junio de 2021.

Casi siempre que puede, el presidente Biden recuerda en sus discursos la amenaza cibernética a la que considera una “guerra de disparos” que daña a empresas de todos los tamaños bajo la intención de provocar una emergencia en la seguridad nacional. 

Para tensar más la situación, la invasión de las tropas rusas a Ucrania desde el pasado 24 de febrero del año pasado, no ha hecho más que incrementar los ciberataques en un 800% contra empresas públicas, privadas y gobiernos de diversos países fundamentalmente aliados de Kiev.