El Hospital Clínic de Barcelona confirmaba a última hora de la tarde de este martes 4 de julio una nueva filtración de datos de los archivos fueron robados a principios de marzo por una banda de piratas informáticos. Según aseguraron, habían sustraído 4,4 Terabytes de datos y para poder recuperarlos pedían 4,5 millones de dólares (4.133.000 euros). Los responsables del centro aseguraron desde un primer momento que no pagarían a los secuestradores, aunque eso supusiera que la información acabase expuesta para todo interesado.

A priori, uno puede pensar que los datos de salud no guardan ninguna valía especial. Sin embargo, estos delincuentes han topado con uno de los grandes negocios del siglo XXI: el tráfico de historiales médicos, una información muy valiosa para compañías tecnológicas, farmacéuticas, aseguradoras e, incluso, empresas de contratación y consultoras.

La empresa detrás del ataque se llama RansomHouse y su modus operandi hasta hacía unos meses era bloquear datos internos de entidades introduciendo el ransomware, un tipo de malware que imposibilita a los usuarios acceder a su sistema y a sus archivos personales y exige el pago de un rescate para poder acceder a ellos.

En 2021, por ejemplo, la Universidad Autónoma de Barcelona sufrió un ataque igual. La intención era abonaran un rescate y, si no se pagaba, los datos se quedarían encriptados para siempre. No obstante, en los últimos meses RansomHouse ha ido más lejos y ha cambiado el método de extorsión: vender los datos robados al mejor postor. Lo están haciendo en la dark web, un espacio oculto de Internet al que no se puede acceder con navegadores convencionales.

Un negocio millonario

El libro Our Bodies, Our Data: How Companies Make Billions Selling Our Medical Records (Nuestros cuerpos, nuestros datos: cómo las empresas hacen millones vendiendo nuestros datos médicos, en español) explica precisamente cómo en países como Estados Unidos la venta de datos médicos es un mercado que genera "miles de millones de dólares".

Su autor, Adam Tanner, antiguo corresponsal de Reuters y periodista de investigación en medios como Scientific American, Forbes, Fortune y MIT Technology Review, se topó con el negocio mientras se zambullía en cómo las empresas recopilan información sobre pacientes para venderles productos.

"Me sorprendió encontrar un gran comercio oculto al público en general, que recopila información de exámenes médicos, diagnósticos e informes de hospital, y que hay compañías comerciales que la venden. Eliminan el nombre, pero la información termina convirtiéndose en un producto comercial", explicaba el propio Tanner en una entrevista para Semana.

La salud se ha convertido en los últimos años en un negocio muy rentable. En Estados Unidos, por ejemplo, el mercado médico generó un volumen de negocio de 4,1 billones de dólares. Empresas como Google, Amazon o Microsoft lo saben y por eso han comenzado a desarrollar herramientas destinadas a este campo, sobre todo, asistentes que empleen inteligencia artificial para ayudar con la diabetes o el cáncer. Pero para que eso pueda suceder, como indica Tanner, necesitan muchos millones de datos.

Extorsionar a los pacientes

El asunto se puede volver todavía más turbio. Tal y como han desvelado medios como elDiario.es, los ciberdelincuentes amenazaron el pasado 14 de abril con publicar datos de pacientes con enfermedades infecciosas. Según informó El País, en la primera filtración vertieron datos sanitarios de pacientes, resultados identificativos, ensayos clínicos e información personal de los profesionales del Clínic, como documentos de identidad, números colegiales y teléfonos.

De momento, no se conoce si han cumplido la advertencia con esta nueva filtración. Sería un asunto muy delicado. Más allá del negocio económico, estos datos podrían ser utilizados en un futuro para el señalamiento público y la extorsión individual.

Mientras todo el asunto se esclarece, la Autoridad Catalana de Protección de Datos ha informado que se ha abierto un expediente informativo al Clínic y a entidades vinculadas al centro para dirimir si se disponía de los medios adecuados para proteger todos estos datos confidenciales.

