Opinión: Ransomware en hospitales, una infección difícil de curar

La mayoría de los delincuentes dirige sus ataques contra aquellos objetivos que son más débiles y redituables, es decir contra las víctimas que no pueden defenderse y de las que pueden obtener más dinero que de cualquier otra persona  común; en el caso de los ciberdelincuentes esta premisa también se cumple, sobre todo en el caso específico de quienes utilizan el ransomware contra hospitales para cometer delitos.

Por Edgar Vásquez Cruz, Field Account Manager para el sector Gobierno en Intel Security.

Como tal vez ustedes sepan ya, con el nombre de ransomware se designa a un tipo de código malicioso que tiene varias “cepas” y que es utilizado por los delincuentes informáticos para realizar ciberataques con los que consiguen dinero rápido al paralizar la actividad regular de las compañías, tal y como lo explico en mi artículo anteriormente publicado, Ransomware, una amenaza renacida y negocio lucrativo.

Al principio los ataques de ransomware estaban dirigidos contra personas, sin embargo los atacantes decidieron cambiar sus blancos hacia empresas pues descubrieron que de ellas podían conseguir más dinero.

Las compañías atacadas eran de un tamaño pequeño y mediano que tenían infraestructuras de TI con poca seguridad y que, en consecuencia tenían muy escasa capacidad para recuperarse luego de ser golpeadas, por lo que muy probablemente pagarían el rescate que les exigirían.

Posteriormente los ciberdelincuentes han segmentado aún más sus blancos y decidieron centrarse en los hospitales. Estos objetivos no son nuevos pues anteriormente los maleantes digitales fueron responsables de grandes fugas de datos. Lo novedoso en este caso es que para cometer sus ciberdelitos, estos atacantes decidieron usar herramientas de ransomware fáciles de compilar.

Ahora los ataques no buscan robar los datos de los hospitales, sino encriptarlos mediante ransomware para que sus víctimas paguen un rescate para poder recuperar su información. Este nuevo ransomware fue creado utilizando conjuntos de herramientas que los delincuentes contratan en la Internet negra o black web.

Hospitales, blanco de ataques con ransomware

Muchos hospitales en Estados Unidos han sido afectados por ransomware, ya que de acuerdo con un informe reciente de la Health Alliance (HITRUST), cerca de 18% de los hospitales de tamaño medio de ese país fueron infectados con cripto-ransomware,  y más de la mitad de ellos parecen estar infectados.

Un hospital en California, después de ser infectado con ransomware en febrero del 2016, entró  en un estado de emergencia pues la información  de sus pacientes sólo pudo estar disponible luego de que la institución pagó 40 bitcoins (cerca de17 mil dólares estadunidenses)

Los hospitales son un blanco fácil para los ataques con ransomware porque sus administradores de redes y los sistemas de TI deben resolver varios retos que comienzan por administrar infraestructuras antiguas que a pesar de esto deben funcionar continuamente, además algunas de sus computadoras son veteranas y utilizan sistemas operativos antiguos (como Windows XP) para los que ya no existe soporte ni parches de seguridad.

Uno de los principales problemas que enfrentan los hospitales es la fuga de datos y la causa más común de que esto ocurra es un ataque delictivo, como lo muestra un estudio del Ponemon Institute citado en el  Informe de Amenazas de McAfee Labs: Septiembre 2016.

Los ataques con ransomware comienzan,por lo regular, con mensajes de correo electrónico de phishing, y de cada diez mensajes de correo electrónico enviados por los atacantes, por menos uno logrará desatar una infección, por esa razón es importante que los empleados estén informados del riesgo al que están sujetos y de que no deben abrir mensajes de correo electrónico ni archivos adjuntos que proceden de remitentes desconocidos o no verificados.

De hecho, la vulnerabilidad de los hospitales en Estados Unidos (y de la que no estamos exentos en Latinoamérica) tiene varios elementos como la combinacioìn del uso de sistemas anticuados con una seguridad insuficiente; el desconocimiento de los empleados sobre los temas de seguridad; una plantilla de empleados fragmentada, así como la necesidad de tener  acceso inmediato a la información.

A pesar de que la mayor parte de los hospitales que sufrieron ataques de ransomware no pagaron el rescate, algunos hospitales que fueron atacados utilizando samsam si cubrieron el pago del chantaje.

Además de ese costo, los hospitales tuvieron que afrontar pérdidas causadas por el tiempo de inactividad (de cinco a diez diìas); la respuesta a los incidentes; el recuperar los sistemas; los servicios de auditoriìa, además de otros gastos relacionados con la limpieza.