El Servei de Salut sufrió el pasado 29 de diciembre el mayor ataque informático de la historia de Baleares. El ciberataque afectó directamente a 30.000 expedientes médicos personales, en su mayoría consentimientos informados de operaciones, de tratamientos y de pruebas diagnósticas a pacientes, así como también a expedientes de listas de espera y otra documentación de tipo administrativo. A todo este volumen de información tuvieron acceso los hackers, han confirmado a este diario fuentes del IB-Salut. Las historias clínicas se mantuvieron a salvo.

El objetivo del ataque masivo de los hackers, según las mismas fuentes, era el robo y posterior encriptación de toda la información personal y administrativa afectada para posteriormente pedir al Govern un rescate económico por su recuperación.

Sin embargo, los autores no consiguieron su objetivo final por la rápida reacción de la Subdirección de los Servicios de Tecnología de la información del IB-Salut, que el mismo 29 de diciembre cortó todas conexiones con el exterior de los servicios informáticos de los hospitales, centros de salud y servicios centrales, retuvo la información y evitó de este modo que los hackers pudieran encriptar el enorme volumen de datos a la que habían tenido acceso de forma ilegal.

En ese mismo instante, el IB-Salut denunció los hechos a la Policía Nacional, a la Agencia Española de Protección de Datos y al Centro Criptológico Nacional de defensa frente a las ciberamenazas, que siguen investigando el ataque. La Policía Nacional está a la espera del informe completo de los servicios informáticos del Servei de Salut sobre los hechos ocurridos, pudo saber ayer este diario, informa Xavier Peris.

La infiltración de los delincuentes informáticos provocó muchos trastornos en Servei de Salut del Baleares. El más importante después del acceso ilegal a 30.000 expedientes fue la interrupción de los servicios de internet en todos los hospitales y centros de salud de las islas, que no se recuperarán hasta la primera semana de marzo. Sin embargo, la asistencia habitual a los pacientes no se vio afectada, ni tampoco los servicios de cita con los enfermos, las citas de vacunación contra el coronavirus, de obtención del certificado covid y la tramitación telemática de bajas laborales, pese a coincidir el ataque con la fase expansiva de la sexta ola en Baleares.

A la espera de que todos los servicios se restablezcan a partir de marzo y el IB-Salut pueda recuperar la normalidad, el Govern realizará una inversión de 600.000 euros para reforzar la seguridad de los servicios informáticos y de documentación del Servei de Salut, han adelantado las fuentes consultadas. Además, conectará uno por uno con los ciudadanos que aparecen en los 30.000 expedientes a los que tuvieron acceso los hackers para informarles del incidente y volver a cotejar los datos, en su mayoría autorizaciones para operaciones, pruebas diagnósticas o tratamientos.

Los delitos informáticos se han duplicado en Baleares desde el año 2018, según las estadísticas del Ministerio del Interior, pasando de 4.961 a 9.292 durante el año 2020.

A la caza de los datos médicos

Los hospitales se han convertido en un objetivo muy delicado, pues la paralización de sus servicios puede llegar a poner vidas en riesgo. Los delincuentes explotan esa situación de emergencia para exigir el pago rápido de una mayor cantidad de dinero. El 3 de septiembre del 2020, el Hospital Moisès Broggi de Sant Joan Despí, en Barcelona, fue víctima de un secuestro del tipo ramsomware, similar al del IB-Salut, que no expuso datos, pero si paralizó algunos servicios. El centro no cedió al chantaje. El pasado 17 de diciembre, un ataque similar dejó sin radioterapia a hasta 200 pacientes del hospital más importante de Asturias .

Aunque en estos dos casos no se produjo, el robo de datos sanitarios de los pacientes es algo tan cotizado como sensible. “En el mercado negro valen mucho dinero, así que es fácil rentabilizar su robo”, explica a El Periódico Samuel Parra, abogado especializado en derecho tecnológico. “Pero si los criminales logran penetrar en el sistema de un hospital las vidas de las personas pueden correr un riesgo muy grave”.

Detrás del robo de datos clínicos están grupos organizados de cibercriminales que pueden usarlos para hacer caja con su venta, para extorsionar a sus víctimas o para suplantar su identidad. Asimismo, explica Parra, se sirven de ellos tanto brókeres de datos como compañías de seguros que los usan para elaborar perfiles de los ciudadanos. En la Unión Europea esos datos están especialmente protegidos, pero en Estados Unidos pueden terminar sirviendo para que una aseguradora niegue la cobertura a alguien al conocer qué dolencia padece.