El Hospital Clínic confirma una nueva filtración de datos secuestrados el marzo pasado

El Hospital Clínic ha confirmado una nueva filtración de datos secuestrados a principios de marzo con un ataque de tipo ransomware. Desde que el 30 de marzo apareció publicado el primer paquete de datos, el Clínic ya alertó de que se irían publicando nuevas. La entidad sanitaria y la Agència de Ciberseguritat de Catalunya trabajan de manera coordinada desde el ciberataque y recuerdan que la publicación total o parcial de los datos es un delito. El ataque tuvo lugar a principios de marzo y afectó a los servicios de laboratorio, farmacia y urgencias. Los responsables del hospital tardaron semanas a volver a restablecer todos los sistemas informáticos. Desde un primer momento dijeron que no pagarían a los secuestradores para recuperar los datos.

El 30 de marzo los piratas informáticos agrupados en el colectivo RansomHouse publicó el primer paquete de datos y amenazó con difundir más si no recibían rescate. En aquel momento aseguraron que tenían 4,4 Terabytes de datos y pidieron 4,5 millones de dólares para devolverlos. El 4 de abril los Mossos d'Esquadra consiguieron bloquear el acceso de los ciberdelincuentes a los datos, pero dos días más tarde los ciberatacantes contraatacaban amenazando con publicar datos sobre pacientes con enfermedades infecciosas así como también sobre el uso de fármacos experimentales para las personas mayores.

El 16 de abril RansomHouse aseguraba que habían publicado más datos confidenciales con un enlace Torrent que permitía descargar toda la información. A través de varias redes sociales facilitaban, además, detalles para realizar la bajada de manera anónima y segura, para no dejar rastro. En el Telegram que tiene el grupo de ciberdelincuentes, el 27 de abril se aseguraba de que había habido una nueva publicación de datos. Por esta misma vía publicaba los enlaces para descargar la información.

En paralelo, el 22 de junio la Autoritat Catalana de Protecció de Dades (APDCAT) anunciaba la apertura de un expediente informativo al Clínic y a sus entidades vinculadas para determinar si el hospital merece ser sancionado por incumplimiento de la normativa de protección de datos después de que estas se filtraran a raíz del ciberataque.