El ciberataque al Hospital Clínic de Barcelona ha reabierto el debate sobre el papel de la Inteligencia sanitaria o MEDINT en España. En este análisis el CEO de Quantum Babylon y alumno del Máster Profesional de Analista de Inteligencia de LISA Institute, Juan Pablo Castillo, expone las consecuencias jurídicas de un ciberataque en el sistema sanitario español, según el tipo y el alcance del ataque.
El pasado domingo 5 de marzo, el Hospital Clínic de Barcelona sufrió un grave ciberataque que afectó a sus servicios de urgencias, laboratorio y farmacia. Se trata de un ataque de tipo ransomware, en el que los ciberdelincuentes encriptan los datos de un sistema y piden un rescate para liberarlos. En este caso, los atacantes, miembros de la ciberbanda RansomHouse han exigido 4,2 millones de euros para devolver el control de la información al hospital, de lo contrario toda esa información, además, podría acabar publicada en su web o vendida a terceros —cuestión que el pago a los delincuentes no garantiza que no vaya a suceder—.
Te puede interesar: ¿Qué hay detrás del ciberataque en el Hospital Clínic de Barcelona?
El ciberataque ha tenido un gran impacto en la actividad asistencial del centro sanitario, que ha tenido que desprogramar más de 4.000 analíticas, 11.000 consultas externas y 300 intervenciones quirúrgicas. Además, ha obligado al personal médico y de enfermería a recuperar procesos analógicos, como las órdenes en bolígrafo y papel, las recetas manuscritas o las colas para recoger los resultados de las pruebas. Según algunos testimonios, ha sido como hacer un viaje en el tiempo.
El Hospital Clínic es uno de los centros sanitarios más importantes de Cataluña y de España, con una gran reputación en investigación y docencia. Por eso, el ciberataque ha causado una gran alarma social y ha puesto en evidencia la vulnerabilidad de las infraestructuras críticas ante este tipo de amenazas.
El hospital, tras el ataque denunció los hechos ante la Fiscalía y la Agencia Española de Protección de Datos, activando un plan de contingencia para garantizar la seguridad de los pacientes y la continuidad de la asistencia, contando con el apoyo de la Agencia de Ciberseguridad de Cataluña y los Mossos d’Esquadra para hacer frente al incidente. Además, la Interpol también fue contactada para investigar el origen y el alcance del ataque, así como para bloquear los servidores desde donde se realizó.
Te puede interesar: Inteligencia sanitaria o MEDINT: una prioridad ante el aumento de la ciberdelincuencia
El contraataque del caso del Hospital Clínic ante la falta de MEDINT
Ante la negativa del Govern de Catalunya a pagar el rescate, los ciberdelincuentes empezaron a difundir los datos sustraídos en una web alojada en la dark web, una parte oculta de internet que no es accesible por los buscadores convencionales. Esta web mostraba información sensible de los pacientes, como sus historiales clínicos, sus diagnósticos, sus tratamientos o sus datos personales.
La respuesta de los Mossos d’Esquadra no se hizo esperar. La policía autonómica catalana lanzó un contraataque informático para bloquear el acceso a la web de los ciberdelincuentes y evitar que siguieran filtrando los datos del Hospital Clínic. Para ello, utilizaron una técnica conocida como ataque DDoS —Distributed Denial of Service—, que consiste en saturar el servidor que aloja la web con una gran cantidad de peticiones falsas, hasta hacerlo colapsar.
Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
El resultado fue un éxito. El pasado 5 de abril, justo un mes después del ciberataque al Clínic, los Mossos anunciaron que habían conseguido bloquear la web de RansomHouse y que ya no era posible acceder a ella. Además, informaron que seguían trabajando para identificar y detener a los autores del ataque, en colaboración con otras fuerzas policiales y organismos de ciberseguridad.
Este caso ha puesto de manifiesto la importancia de proteger los sistemas informáticos de las instituciones sanitarias, que manejan información muy sensible y que son un objetivo frecuente de los ciberdelincuentes. También ha demostrado la capacidad de reacción y la profesionalidad de los Mossos d’Esquadra, que han sabido hacer frente al desafío con eficacia y determinación.
¿Los ciberdelincuentes todavía tienen los datos robados en el ataque al Hospital Clinic?
Según los responsables del hospital, el ataque fue complejo y sofisticado, e incluyó nuevas técnicas que dificultaron la respuesta y la recuperación. Además, se produjo una doble extorsión: por un lado, la encriptación de la información, que impidió el acceso a los sistemas informáticos; y por otro, la filtración de datos, que comprometió la privacidad de pacientes, profesionales y colaboradores.
Sin embargo, pese al éxito del contraataque, los ciberdelincuentes de RamsonHouse todavía tienen los datos robados en su poder. Así lo demostraron el pasado 31 de marzo, cuando publicaron en la deep web una pequeña parte de los datos sustraídos, que correspondían a unos 3 o 4 gigabytes (GB) de un total de 4 terabytes (TB). La información publicada incluía datos identificativos y personales de pacientes y trabajadores del hospital, lo que supone un riesgo real de que estos sean usados para estafas y fraudes.
El hospital siempre ha reiterado que no pagará ni un céntimo y que confía en la labor policial para detener a los responsables. Sin embargo, la previsión es que RamsonHouse siga publicando más datos en las próximas semanas para aumentar la presión y el chantaje. De hecho, esta es su forma habitual de operar, según han constatado otras víctimas de este grupo en el extranjero. Bloquear la página es una buena estrategia por parte de los Mossos, pero estos complejos grupos criminales cuentan con su propia red de negocio y distribución alojado en otros sitios de la dark web además de la consabida distribución por medios “físicos” que dificultad la trazabilidad de la información robada.
Las herramientas de MEDINT y consecuencias jurídicas de la ciberdelincuencia sanitaria en España
Paradójicamente, RamsonHouse, una banda que opera desde fuera de España, se presenta como un grupo de hackers éticos o de sombrero blanco, que buscan demostrar las vulnerabilidades de seguridad de las organizaciones y concienciar sobre la importancia de invertir en ciberseguridad. Sin embargo, sus acciones son claramente delictivas y perjudiciales para las entidades atacadas y para las personas afectadas por la violación de su privacidad, pero en este caso, la tipificación del delito podría ir mucho más allá, pues, hablamos de que han puesto en riesgo vidas humanas.
Te puede interesar: Curso de Experto en Hacking Ético
La responsabilidad jurídica de un ciberataque cuando provoca el fallecimiento de pacientes representa un tema altamente complejo y delicado que requiere un análisis detallado de las circunstancias del caso.
Según el tipo y el alcance del ataque, pueden derivarse consecuencias penales, civiles y administrativas para el autor o los autores del ciberataque, la empresa o entidad atacada, la Administración Pública y los proveedores de servicios informáticos. Además, hay que tener en cuenta la ley y la jurisdicción aplicables al caso, así como las medidas de seguridad y prevención que se hayan adoptado o incumplido.
Debemos de considerar algunos textos legales como el Código de Derecho de la Ciberseguridad, donde se especifica la responsabilidad derivada de las empresas en estas situaciones o la Doctrina de la Fiscalía General del Estado (Circular 3/2017 de 21 de septiembre) en alusión a la reforma sobre el Código Penal publicada en la Ley Orgánica 1/2015. Al mismo tiempo hay que decir que todas ellas son fruto de la asunción como ordenamiento interno de la Directiva 2013/40/UE del Parlamento y del Consejo.
- En primer lugar, el ciberataque puede representar un comportamiento antijurídico de uno o varios delitos contra la seguridad informática, el secreto de las comunicaciones, la intimidad de las personas, el patrimonio o la vida e integridad física de los pacientes. Estos pueden ser castigados con penas de prisión, multa e inhabilitación profesional, entre otras. Para determinar la responsabilidad penal del atacante o los atacantes, hay que identificarlos y probar su participación y su intención en el ciberataque. Esto puede ser difícil debido a la naturaleza transnacional y anónima de muchos ciberataques.
- En segundo lugar, la empresa o entidad atacada puede incurrir en responsabilidad civil frente a los pacientes o sus familiares por los daños y perjuicios causados por el ciberataque. Para ello, hay que demostrar que hubo una relación contractual o extracontractual entre la empresa y los pacientes, que hubo una falta de diligencia o culpa de la empresa en el tratamiento de los datos personales y la prestación del servicio sanitario, que hubo un nexo causal entre el ciberataque y el daño sufrido por los pacientes y que hubo un daño efectivo y evaluable. La empresa puede intentar exonerarse o limitar su responsabilidad alegando que el ciberataque fue un hecho imprevisible e inevitable —fuerza mayor— o que actuó con todas las medidas de seguridad exigibles.
Te puede interesar: Cómo acercar la Inteligencia al mundo corporativo
- En tercer lugar, la Administración Pública puede tener responsabilidad administrativa frente a los reguladores por no cumplir con las obligaciones legales de protección de datos personales, notificación de brechas de seguridad, cooperación con las autoridades competentes y adopción de medidas correctivas o sancionadoras. La Administración Pública también puede tener responsabilidad patrimonial frente a los pacientes o sus familiares por no impedir el ciberataque o por no garantizar el funcionamiento adecuado del servicio público sanitario. Para ello, hay que demostrar que hubo una actuación u omisión antijurídica e ilegítima de la Administración Pública, que hubo un nexo causal entre esa actuación u omisión y el daño sufrido por los pacientes y que hubo un daño efectivo y evaluable.
- Por último, la empresa proveedora de servicios informáticos —cloud, SCADA, etc.— puede tener responsabilidad contractual frente a la empresa o entidad atacada por incumplir las condiciones pactadas en el contrato de prestación de servicios. Estas condiciones pueden incluir cláusulas sobre el nivel de servicio, la seguridad, la confidencialidad, la indemnización o la limitación de responsabilidad. La empresa proveedora también puede tener responsabilidad extracontractual frente a los pacientes o sus familiares si se prueba que actuó con negligencia o dolo en el desempeño de su actividad profesional y que causó un daño a los pacientes.
Más allá de todo lo que se ha mencionado, derivaciones como pueda ser el fallecimiento de pacientes por no haber podido dar asistencia médica a los pacientes del recinto hospitalario durante el ciberataque puede representar un problema añadido a las instituciones sanitarias. Y es que en el año 2020, durante la pandemia provocada por el COVID-19, el Hospital universitario de Düsseldorf tuvo el desafortunado honor de ser el primer recinto donde un paciente fallecía debido a que un ransomware bloqueó los servidores haciendo imposible acceder a la información necesaria para poder prestar el correspondiente tratamiento. Lo que provocaría un grave perjuicio para los pacientes y para la credibilidad de la institución al no ser capaz de garantizar la salud y el bienestar de las personas que acuden en busca de tratamiento.
El ciberataque al Hospital Clínic es uno de los más graves que ha sufrido el sector sanitario en España, pero no es el único. En los últimos años, se han registrado varios casos similares en otros hospitales o centros médicos del país, como el del Hospital Universitario Son Espases en Mallorca o el Centro Médico Quirónsalud. Estos ataques ponen en evidencia la necesidad de reforzar las medidas de protección y prevención frente a las amenazas cibernéticas, así como de mejorar la coordinación entre las autoridades competentes para combatir este tipo de delincuencia.
