Cómo afecta el ciberataque a la actividad del Hospital Clínic

El Hospital Clínic notificó el domingo a las 11:17h a la Agencia de Ciberseguridad de Catalunya que había sufrido un ciberataque de tipo ransomware. El ciberataque, lanzado por la empresa de cibercrimen Ransomhouse, afecta al Clínic y los centros CAP Casanova, CAP Borrell y CAP Les Corts, que están sin sistema de información y atienden urgencias. El centro de investigación vinculado al hospital, el IDIBAPS, también está afectado.

Cómo afecta a la actividad del hospital

Ayer se retomaron las consultas externas con un 10% de actividad. Los pacientes que puedan visitarse recibirán una llamada del hospital para confirmar su visita y los que serán reprogramados, se les irá avisando próximamente.

También está previsto recuperar entre el 40% y el 50% de las operaciones electivas en Villarroel.

• Actividades suspendidas: parte de la cirugía electiva y de las visitas a consultas externas de las tres sedes del Clínic y se ha anulado la actividad de los centros de extracciones.
• Actividades que se mantienen: la hospitalización domiciliaria, los hospitales de día, radiología, pruebas endoscópicas, exploraciones radiológicas, diálisis y farmacia ambulatoria.

Se han suspendido unas 150 intervenciones y entre 2.000 y 3.000 visitas a consultas externas.

La prioridad es la seguridad de los pacientes y, mientras el hospital no tenga acceso a la historia clínica, deben demorarse estas actuaciones.

Actividad manual

El domingo hubo sobre todo actividad urgente que se hizo de forma manual y más lenta. Se derivó el transporte sanitario urgente en otros hospitales de Barcelona y el Área Metropolitana.

Los más de 800 pacientes ingresados en el hospital fueron atendidos con normalidad, recuperando la información de los planes de medicación en papel.

Un ataque sofisticado

Se trata de un ciberataque que se ha producido en entornos virtualizados. Ha sido un ataque sofisticado para el que no se han utilizado las técnicas clásicas. Se está trabajando para determinar su alcance de forma coordinada con Interpol, ya que el ataque viene de fuera.

RansomHouse es un grupo cibercriminal relativamente nuevo, ya que el primer ataque que se les atribuye ocurrió en diciembre de 2021. Desde entonces, su actividad ha resonado por lo infrecuente de su modus operandi, diferente de lo que los investigadores de ciber amenazas están acostumbrados a ver en casos de ransomware. Mientras que los ataques de este tipo suelen encriptar equipos y archivos para después pedir un rescate, la técnica de RansomHouse pasa directamente a robar los datos y después reclamar el dinero.

RansomHouse añade una dosis extra de extorsión después de sus ataques. Normalmente, los grupos de ransomware acuerdan un rescate con la víctima en cuestión. Sin embargo, RH hace públicos los robos en su página web y, si la propuesta de rescate no tiene éxito, vende la información robada a otras agrupaciones ciberdelictivas.

Recuperación gradual

La recuperación será gradual: se prioriza levantar los servicios afectados, pero velando por la contención de los daños. Se quiere evitar que el atacante permanezca latente en el sistema y pueda volver a atacar.

Medidas para los próximos días

El sistema de gestión del hospital contiene toda la información íntegra, pero la comunicación con las aplicaciones está dañada y no funciona. Esto implica que no se puede acceder ni recuperar la información de los pacientes.

Para poder recuperar una parte de la actividad se suministrarán 100 equipos con conexión a los sistemas.

Ha habido una filtración de datos, pero se desconoce su alcance. Ahora se prioriza recuperar la información y analizar la vía de entrada.