Seguridad

Ciberataques: Ransomware en hospitales

De Canadá de Rusia, el ataque con el randomware WannaCry se ha extendido por miles de ordenadores vulnerables.

Indice
1. Descripción
2. Buenas prácticas de seguridad contra el ransomware
3. Hospitales, blanco de ataques

Lo que en un principio parecía una amenaza local en España se ha convertido en un ciberataque a nivel mundial que se ha extendido por el sistema de salud de Reino Unido y que ahora está afectando en distintos niveles a EEUU, Canadá, Rusia, China, Italia o Taiwan.

Varios expertos cifran en 74 el número de países afectados hasta ahora. Según Jakub Kroustek, experto en antivirus de la compañía Avast, se han detectado hoy en todo el mundo más de 57.000 ataques. WannaCry es un programa informático cuyo objetivo es secuestrar archivos una vez se ha ejecutado en un ordenador para posteriormente exigir un rescate al afectado. Es el tipo de virus que más quebraderos de cabeza está dando actualmente a las grandes empresas a nivel mundial.


La mayoría de los delincuentes dirige sus ataques contra aquellos objetivos que son más débiles y redituables, es decir contra las víctimas que no pueden defenderse y de las que pueden obtener más dinero que de cualquier otra persona común; en el caso de los ciberdelincuentes esta premisa también se cumple, sobre todo en el caso específico de quienes utilizan el ransomware contra hospitales para cometer delitos.

Definición de Ransomware: se designa a un tipo de código malicioso que tiene varias “cepas” y que es utilizado por los delincuentes informáticos para realizar ciberataques con los que consiguen dinero rápido al paralizar la actividad regular de las compañías.

Al principio los ataques de ransomware estaban dirigidos contra personas, sin embargo los atacantes decidieron cambiar sus blancos hacia empresas pues descubrieron que de ellas podían conseguir más dinero.

Las compañías atacadas eran de un tamaño pequeño y mediano que tenían infraestructuras de TI con poca seguridad y que, en consecuencia tenían muy escasa capacidad para recuperarse luego de ser golpeadas, por lo que muy probablemente pagarían el rescate que les exigirían.

Posteriormente los ciberdelincuentes han segmentado aún más sus blancos y decidieron centrarse en los hospitales. Estos objetivos no son nuevos pues anteriormente los maleantes digitales fueron responsables de grandes fugas de datos. Lo novedoso en este caso es que para cometer sus ciberdelitos, estos atacantes decidieron usar herramientas de ransomware fáciles de compilar.

Ahora los ataques no buscan robar los datos de los hospitales, sino encriptarlos mediante ransomware para que sus víctimas paguen un rescate para poder recuperar su información. Este nuevo ransomware fue creado utilizando conjuntos de herramientas que los delincuentes contratan en la Internet negra o black web.

IntraMed consultó a varios expertos para que nos dieran su punto de vista y recomendaciones de la situación:

El Dr. Eduardo F. Del Piano, Gerente Corporativo de Procesos y Sistemas de Swiss Medical nos comentó lo siguiente:

¿ Cuál es su opinión con respecto a esta noticia?
Cualquier actividad y dispositivo IoT no están exentos de sufrir ciberataques. En un mundo en que cada vez estamos mas interconectados y en que los dispositivos de interconectan sin la intervención humana la “oferta” para los ciberataques crecen de manera proporcional.

¿Existe forma de prevenir algo asi? ¿Cuáles serian las acciones a tomar en primera instancia? ? Existe un protocolo para este tipo de contingencias?
Las distintas compañías dedicadas a la seguridad informática focalizan sus estrategias de marketing y venta con argumentos técnicos y haciendo menciones a daños que han tenido algunas compañías por no utilizar sus productos. La prevención y la capacitación son las mejores “armas” para poder evitar y combatir este tipo de maniobras. Los planes de prevención manteniendo las actualizaciones de los distintos componentes de la infraestructura que soportan los sistemas cumplen un rol técnico importante, pero la capacitación y comunicación sobre cómo operan este tipo de maniobras son claves y muchas veces las organizaciones no le prestan la suficiente atención.

El Dr. Daniel Luna, Jefe Dto Informática en Salud, del Hospital Italiano de Buenos Aires nos detalla:

¿ Cuál es su opinión con respecto a esta noticia? ¿Existe forma de prevenir algo asi?
Un usuario que realice un click en el adjunto del mail que se envía, instalará en su PC un programa oculto que comenzará a encriptar carpetas y buscará propagarse por la red en busca de servidores, explotando una vulnerabilidad en un protocolo de comunicación que se utiliza para la compartición de archivos.Una vez en el Servidor, comenzará a realizar el mismo ciclo.

Al encriptar la información, los servicios prestados por ese servidor, dejarán de funcionar.

Algunos servicios informáticos importantes como el del Laboratorio, RRHH, Interfases con la Historia Cínica, y una cantidad impredecible de PCs de usuarios finales, podrían paralizar procesos operativos del Hospital.

Si el Rasomware, no hubiese sido detectado con anterioridad, y ya estuviese instalado en varios equipos, los backups que se realizan periodicamente ya estarían infectados, y al tratar de restaurarlos para recuperar la operatividad, iniciarian el ciclo del ataque nuevamente.

¿Que acciones han tomado al respecto?

Se han tomado las siguientes acciones:

  • Revisamos que las actualizaciones de seguridad de Microsoft que solucionan esta vulnerabilidad, estén correctamente instaladas en todos los Servidores y en la totalidad de las PCs.
  • Revisamos que el sistema Antiivirus esté actualizado en todas las PCs. mediante las consolas centralizadas de administración.
  • Informamos sobre esta amenaza a toda la organización, advirtiendo también sobre el uso de sus dispositivos personales en las redes (BYOD) y como prevenir el ataque.
  • Activamos un filtro que impide la descarga en el sistema de Correo Institucional, de archivos .ZIP, por el cual se propaga el ataque.