RansomHouse publica datos sensibles robados al Hospital Clínic con información personal de pacientes y trabajadores
Los cibercriminales dicen que tienen 4,4 TB de información y reclaman un rescate de 4,5 millones de dólares
El grupo RansomHouse ha publicado parte de los datos robados durante el ataque informático al Hospital Clínic de Barcelona. Como ha explicado Antoni Castells, Director Médico del centro, se trata de datos personales de pacientes, profesionales y proveedores, en ningún caso datos de carácter estructural. La información está disponible de manera gratuita y es accesible para cualquier persona con un conocimiento mínimo para navegar por la 'darkweb'. La Agencia de Ciberseguridad de Cataluña asegura que los ciberdelincuentes están siguiendo su ‘modus operandi’ y prevé que en un par de semanas se publique un nuevo paquete de información. RansomHouse dice que tiene 4,4 terabytes de datos y ha reclamado un rescate de 4,5 millones de dólares.
En rueda de prensa desde el Hospital Clínic, Tomàs Roy, director de la Agencia de Ciberseguridad de Cataluña, ha explicado que los ciberdelincuentes están siguiendo su ‘modus operandi’ habitual. Con esta primera publicación de datos, ha añadido, han querido dar una “prueba de vida” para demostrar que disponen de los datos. Para mantener la extorsión, Roy prevé que en un par de semanas RansomHouse publique un nuevo paquete de información y, si no se los paga la cantidad que reclaman, hacer pública la totalidad de información de que disponen en unos dos meses.
El Director Médico del Hospital Clínic, Antoni Castells, ha apuntado que la información publicada son datos de carácter personal de pacientes, personal y proveedores del centro sanitario. En ningún caso, ha puntualizado, se han visto comprometidos datos de carácter estructural, es decir, que no se han perdido datos de los historiales médicos de los pacientes. Tampoco ningún dato que ponga en riesgo el secreto profesional o industrial de los ensayos clínicos que se llevan a cabo en el hospital.
Insistiendo en el hecho de que no se han perdido datos personales de los pacientes del centro, Tomàs Roy ha alertado que se posible que las personas que se han visto afectadas con la publicación de sus datos reciban en los próximos días comunicaciones escritas o de otro tipo de los ciberdelincuentes. Aquí, ha recordado que no Ss'han de abrir nunca mensajes con enlaces externos o que reclamen datos personales. “Hay que comprobar siempre el origen de la fuente para evitar riesgos de infección”, ha añadido.
Utilizar los datos publicados es delito
A su vez, Ramon Chacón, jefe de la Comisaría General de Investigación Criminal, ha explicado que aunque inicialmente bloquearon dos servidores de los ciberdelincuentes en dos continentes diferentes, finalmente no han podido evitar la publicación de parte de la información robada. Chacón ha lamentado que una vez la información ha llegado a la ‘darkweb’, donde no está indexada, es imposible eliminarla.
El jefe de la Comisaría de Investigación Criminal ha recordado que los datos publicados provienen de un hecho delictivo y que todo el mundo que las descargue y haga uso, sea cuál sea, estará incurriendo en un delito.
Recuperación de la actividad asistencial
Sobre la actividad asistencial del Hospital Clínic, Antoni Castells, ha explicado que está funcionando a plena actividad después de que la semana pasada se normalizara el último escollo|arrecife con la sección de analíticas. Con respecto a la actividad que se vio afectada en los primeros días del ciberataque, Castells cree que se podrá recuperar después de Semana Santa.
Reclamaciones de los afectados
Aunque se ha evitado la publicación de datos de tipo estructural, Castells ha reconocido que con la publicación de este paquete de información en los próximos días empezarán a llegar reclamaciones de las personas afectadas que el centro atenderá “caso por caso”.
Una vez se ha tenido conocimiento de la publicación de los datos la dirección del Hospital Clínic ha publicado una nota en la web del centro para informar a las personas afectadas como actuar y en cumplimiento de los requisitos de la Ley de protección de datos.