Los ciberdelincuentes siguen perfeccionando sus tácticas de ataque hasta tal punto que buscan incidir sobre sistemas e infraestructuras clave para generar un mayor impacto, tanto económico como estructural. Así es como en las últimas horas destaca el ciberataqe de ransomware sufrido por la empresa sanitaria y sistema de salud Ascensión, que opera en 19 estados de Estados Unidos.

Este ataque llegó a afectar a algunos de sus 140 hospitales, provocando el desvío de ambulancias y causando que muchos pacientes tuviesen que posponer sus consultas médicas. Además, por si fuese poco, bloqueó el acceso a  los registros de pacientes en Internet.

Se calcula que, aproximadamente, dada la irrupción de la digitalización en el sector sanitario, casi el 70% de los ciberataques se producen por una mala configuración del sistema. La compartición de datos y la monitorización de éstos favorecen directamente el análisis.

A fondo en el ataque de malware

En el caso de Acensión, la compañía detectó actividad inusual en sus sistemas de red de informática el pasado 8 de mayo. A partir de este momento, los funcionarios se negaron a decidir si el sistema de salud, con sede en San Luis, fue víctima de un ataque de ransomware o si se había pagado por un rescate.

La respuesta de Ascensión fue recurrir a Mandiant, la unidad de ciberseguridad de Google. Hay que recordar que ya a comienzos de año, un ciberataque a Change Healthcare interrumpió los sistemas de atención médica a nivel nacional. En aquella ocasión, se pagó un rescate de 22 millones de dólares en Bitcoin.

La empresa sanitaria estadounidense dejó constancia de que tanto su sistema de expedientes electrónicos como el sistema MyChart se habían visto seriamente damnificados. De este modo, era imposible acceder al historial clínico y comunicarse con los sanitarios, manteniéndose todo el operativo inactivo.

En el comunicado inicial afirmaron: “Hemos determinado que esto es un incidente de ciberseguridad. Nuestra investigación y trabajo de restauración llevarán tiempo para completarse, y no tenemos un plazo para su finalización”.

Las primeras horas tras el ataque

Con el objetivo de evitar la propagación rápida, eficiente y automática del ransomware, los responsables informáticos de los hospitales suelen recurrir a desconectar los historiales clínicos y los sistemas de programación de citas. Así se evitará una vulneración de la brecha de seguridad.

En este sentido, el director general de UnitedHealth, Andrew Witty, declaró ante las comisiones del Congreso que Change Healthcare desconectó inmediatamente otros sistemas para evitar la propagación del ataque durante su incidente. Por su parte, el portavoz de Ascensión dijo que se habían desviado ambulancias de varios hospitales, un suceso que señalan que finalizó en la tarde del pasado 9 de mayo.

Del mismo modo, el servicio de EMS para Pensacola, Florida, también redirigió pacientes del hospital Ascension de la localidad a otros hospitales. También se percataron de que les faltaban tomografías computarizadas y mamografías y no podían rellenar recetas.

Medidas efectivas de seguridad

Para intentar tranquilizar a los usuarios, aseguraron lo siguiente: “Si bien esperamos que este proceso tarde en completarse, estamos avanzando y los sistemas se están restaurando de manera coordinada en cada uno de nuestros sitios de atención. Continuaremos compartiendo actualizaciones sobre nuestro proceso de recuperación”.

Hay que tener en cuenta que Ascensión se mantuvo en contacto, en todo momento, con el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Además, han llegado a compartir inteligencia sobre amenazas muy relevante con el Centro de Análisis e Intercambio de Información de Salud (H-ISAC).

Las claves del ataque de ransomware

CISA, el Departamento de Justicia y el Departamento de Salud y Servicios Humanos ese mismo día enviaron un aviso que detalla Black Basta, que, según dijeron, se considera una variante de ransomware como servicio y se identificó por primera vez en abril de 2022.

Ascension se refirió a la violación de datos como un incidente de ciberseguridad en el que estaba trabajando las 24 horas del día con asesores internos y externos. El objetivo no era otro que investigar, contener y restaurar nuestros sistemas luego de un exhaustivo proceso de validación y detección».

Según el proveedor de seguridad Palo Alto Networks, el ransomware se presenta como un modelo basado en suscripción que permite a los afiliados utilizar herramientas de ransomware desarrolladas previamente. También extrae datos confidenciales y opera en un mercado de delitos cibernéticos para publicarlos a posteriori.

Hasta mayo de 2024, los afiliados de Black Basta han impactado a más de 500 organizaciones en todo el mundo, según las autoridades federales. Así pues, las víctimas anteriores de sus ataques incluyen Dish Network, la Asociación Dental Estadounidense, la empresa de servicios de procesos comerciales Capita y la empresa de tecnología ABB.

Un ejemplo más de que ningún sector se encuentra a salvo ante la ofensiva de los ciberdelincuentes que, en plena era de la digitalización, perfeccionan sus ataques hasta niveles insospechados.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre