Tu expediente sanitario, a 900 € en la 'dark web' y hospitales colapsados: así operan los ladrones de datos médicos

Jinbart gestiona un equipo encargado de custodiar los datos sanitarios de 9 millones de andaluces en la sanidad pública, desde que nacen hasta que mueren. De las carteras más numerosas entre las comunidades autónomas españolas.

La manera de velar por la protección de los datos clínicos, patentes, e investigaciones de laboratorios no difiere sustancialmente entre la sanidad pública y la privada. Lo que sí cambia es la tipología del ciberdelincuente que ataca un sistema informático de manera silenciosa para hacerse con datos sanitarios.

Los ciberataques al sector sanitario se incrementaron un 47% en 2024

Francisco Valencia incide en que en la pandemia "el ciberdelincuente también se quedó en casa y tuvo mucho tiempo frente al ordenador". Luego de aquello, "hubo un cambio de paradigma en la ciberseguridad: se comenzó a trabajar para proteger a las personas. Porque con el teletrabajo, el incremento de los ataques fue del mil por ciento", indica a EL ESPAÑOL.

Los proveedores de atención médica son los más afectados por la ciberdelincuencia, con un 53% del total de incidentes, según la Agencia de la Unión Europea para la Ciberseguridad. Los hospitales son los más vulnerables, con un 42% de los casos reportados. Además, otras entidades de la sanidad como las autoridades sanitarias y la industria farmacéutica también son objeto de ataques.

En la sanidad pública española ha habido un extraordinario avance en la gestión de la seguridad, posible gracias a mayores inversiones. "Hay diferencias entre las distintas comunidades autónomas, aunque trabajamos todas en coordinación desde hace años. Una vez a la semana planteamos estrategias y ponemos proyectos en común", explica Manuel Jinbart. También se coordinan con el Ministerio de Sanidad.

En cuanto a los datos sanitarios, "el sector público maneja más, pero el privado posee datos más importantes para la ciberdelincuencia, de directivos, o millonarios, por lo que sus datos tienen mayor calidad... y cotizan mucho más en la darkweb", explica Valencia.

Saben que en ciberseguridad van un pasito por detrás que los ciberdelincuentes. "Siempre estamos perdiendo la guerra, pero estamos ganando posiciones. Ahora tienen una ventaja de oportunidad con la IA y chatBOT, programado para el mal. Esa potencia hasta hace poco no existía. Aunque nosotros también la usamos".

Hay ataques prácticamente todos los días, y se neutralizan. "El número de detecciones ha crecido exponencialmente, desde principios de 2020 a 2025. Todo ello teniendo en cuenta que en 2020 había una menor capacidad de detección, por lo que no sabíamos en realidad si lo que detectábamos, sucedía", narra Jinbart.

El caso más grave

En el sector sanitario público se trabaja monitorizando redes e infraestructuras. En España ha habido un único caso grave de un ciberataque. ¿La víctima? El Hospital Clinic de Barcelona, público. Fue el 5 de marzo de 2023, cuando el grupo de ciberdelincuentes Ransom House penetró en el sistema mediante un programa de ransomware y bloqueó los accesos al laboratorio, urgencias y farmacia.

En las pantallas de los ordenadores de las tres áreas apareció de pronto el siguiente mensaje:

"Estamos seguros de que no está interesado en que sus datos confidenciales sean filtrados o vendidos a un tercero".

Sustrajeron y bloquearon 4,4 terabytes de datos y pidieron un rescate de 4,2 millones de euros en criptomonedas. Hubo que reprogramar 300 cirugías no urgentes, 4.000 análisis de pacientes no ambulatorios y más de 11.000 citas externas.

"Lo del Clinic fue grave, porque les obligó a no poder prestar atención sanitaria, que es lo que nosotros llamamos alcanzar la zona roja", valora Manuel Jinbart. Cuando se produce un ataque a un centro público, los equipos de ciberseguridad se coordinan con el equipo de respuestas del Centro de Ciberseguridad que protege a los organismos públicos.

En este sector "hay detecciones prácticamente todos los días, pero se neutralizan. Aunque, desde luego, el riesgo cero no existe".

Pregunta.-¿Cuánto se tarda en resolver una incidencia por un ataque?

Respuesta.- Depende. Pueden ser horas o semanas, dependiendo de su complejidad, de si la detección es temprana o no... Lo habitual es que el ciberataque no tenga ningún impacto. En el Clínic, lo que ocurrió fue que se les escapó.

Los datos clínicos son valiosos. Mucho. "El robo del número de una tarjeta de crédito es obvio que tiene valor, y se puede pensar que una historia clínica no tanto. Pero tiene muchas derivadas que hacen mucho daño".

La sanidad es el cuarto sector más afectado por ciberataques: "Las historias clínicas se venden por 1.000 dólares"

Se usan para extorsionar o para llegar hasta una víctima y engañarla con esos datos. Normalmente los ciberdelincuentes "buscan historiales concretos, de gente de relevancia, bien porque tengan interés público o económico".

Cuando atacan son capaces hasta de filtrar los historiales para buscar uno que les sea de interés. Luego se venden en la darkweb, "donde hay brokers que las compran y las usan para efectuar otros ataques".

Si la sustracción de los datos tiene lugar en un hospital o servicio de salud público, "la finalidad puede ser publicarlas, algo que acarrea fuertes multas por parte del órgano de control; también se usan para extorsionar a los servicios sanitarios. Y también para chantajear o estafar al propio ciudadano".

Los ataques actuales se deben a una combinación de fallos. El primero es el humano. Porque la vía de entrada es "penetrar en el sistema a través del correo electrónico de un trabajador sanitario. Mediante el phishing, lo engañan y se hacen con sus credenciales". Estas credenciales se venden en la web oscura para que sea otro hacker el que entre en el sistema y robe los datos sanitarios.

Hay una categoría para el robo de credenciales. "Están las credenciales sin privilegios, por ejemplo las de un médico, y luego están las valiosas, como el usuario y contraseña de los informáticos. Porque lo que buscan controlar el sistema, pero cuantos más sistemas, mejor".

Lo hacen en muchas ocasiones aprovechando el teletrabajo, accediendo a la web aprovechando las vulnerabilidades del sistema. De forma sigilosa descargan todos los datos posibles, analizan lo que hay y buscan objetivos en servidores y bases de datos. Luego, se los llevan a la nube.

Los daños dependen del grupo de ciberdelincuentes, que determina la manera que tienen de operar. Los más dañinos son los que introducen un malware que detonan y cifran los ordenadores y los datos haciendo imposible que se pueda acceder a ellos.

"Es entonces cuando se produce la extorsión: para acceder hay que comprar una clave. Al Clinic le pidieron más de 4 millones de euros". Para forzar el pago, amenazan con publicar los datos, pues argumentan que pagar les saldrá más barato que la multa del órgano de control.

En el tercer nivel están las extorsiones al propio ciudadano mediante el phishing. "Hay cada vez más denuncias". Usan los datos médicos "para engañar y posibilitar las ciberestafas".

También hay una tipología en los ciberdelincuentes, dependiendo de sus intenciones. Los hay que solo buscan hacer caja y no tienen otro fin; los activistas, que actúan para reivindicar acciones políticas o geopolíticas. En tercer nivel se sitúan los ciberdelincuentes "que están patrocinados por estados, que lo que buscan es desestabilizar gobiernos y para hacerlo usan lo que haga falta".

Los 'hackers' atacan el sistema sanitario de EEUU: más del 90% de profesionales denuncia ciberataques

Éstos buscan "que se cambien políticas, que se denieguen servicios o directamente, la extorsión. Los contratan los gobiernos y suelen ser los más habituales". Suelen atacar a ayuntamientos, diputaciones... ¿Su origen? "Suelen ser enemigos de Occidente y sus acciones dependen de la situación geopolítica e intereses de países como Rusia, Corea del Norte o Irak".

Al ciudadano, Manuel Jinbart recomienda "que cuiden sus datos, que no los difundan, que acudan a su médico y que no recurran ni a la IA ni a Internet. Y que desconfíen de cualquiera que les pida información, porque les puede costar el dinero".

Robo de patentes

Francisco Valencia abunda en que los ciberdelincuentes no roban únicamente datos médicos de la pública y de la privada "También tratan de robar patentes y ensayos clínicos de la industria farmacéutica". Por ejemplo, el de un medicamento nuevo, "en el que se ha estado trabajando 10 años".

En cuanto al ámbito industrial sanitario, tanto fábricas como hospitales se van rigiendo cada vez más por la automatización. "Antes se controlaba con una libreta y ahora estamos en modo 4.0, y se puede controlar la producción de una fábrica desde casa".

Eso es una oportunidad de oro para los ciberdelincuentes, "que pueden incluso cambiar fórmulas para provocar envenenamientos cuando se trata de una medicina personalizada".

Hay ciberdelincuentes que acceden para democratizar la información. "Eso lo suelen hacer los activistas, porque haciéndolo, igual adelantan en seis años a la competencia. Esto se vio bien con las vacunas de la Covid, que investigaban siete laboratorios y acabaron los siete la vacuna a la vez".

En cuanto a los historiales clínicos, "en la privada saben que van a poder encontrar historiales de altos directivos de compañías, por ejemplo. Imagínate que se filtra que un ejecutivo importante tiene una enfermedad de transmisión sexual". Son los historiales más cotizados en la darkweb, por los que se pagan mil dólares o más.

Luego hay grupos de cibercrimen, "revestidos de un halo de Robin Hood y que atacan fundamentalmente a hospitales, teniendo en cuenta que el sistema sanitario no es igualitario en todo el mundo".

Valencia resalta la gravedad que pueden acarrear estos ataques. "En Reino Unido hubo uno que provocó el fallecimiento en la UCI de dos bebés recién nacidos, porque no era posible acceder a los datos de los pacientes ingresados. Con la sanidad pública española hacer esto no es tan fácil, pero en Estados Unidos, los hospitales pagan".

Uno de los mayores ataques sanitarios de la historia ocurrió en febrero de 2024, allí, en Estados Unidos. Change Healthcare, una empresa que procesa pagos y recetas médicas, sufrió un ciberataque que impidió a hospitales y centros médicos emitir recetas, recibir pagos y realizar otras funciones críticas.

Los grupos de ciberdelincuencia especializados en el robo de datos sanitarios se conocen bien. Dos de los más voraces "son Ramsoncore o Alphv, que ahora se llaman Blackcat". Este último fue el responsable del ataque a Change Healthcare el pasado año.

El principal problema de la lucha contra el cibercrimen en todos los ámbitos es llevar a los delincuentes ante la justicia. "Pueden simular que están en Rusia cuando están en Francia mediante el proxy, igual que los que se usan para piratear el fútbol, para eludir la localización geográfica".

El último dato que arroja Francisco Valencia es demoledor: "Solo responden ante la justicia el 0,5% de estos delincuentes" Porque se ubican en países como Rusia, China o Corea del Norte. "En resumen, en países con los que no se tienen alianzas judiciales".

Este periódico ha requerido en dos ocasiones la participación en este reportaje de la Unidad de Ciberdelincuencia de la Guardia Civil, sin haber recibido respuesta. También con el INCIBE, el Instituto Nacional de Ciberseguridad, que ha declinado aparecer al tratarse de "un tema muy sensible que requiere confidencialidad en ciertos aspectos".