“Un ciberataque a una institución como un laboratorio podría exponernos a virus peligrosos”

Miguel Ángel Castillo, Cybersecurity Team Leader de Innovery España, es ingeniero informático, especializado en la rama de ciberseguridad. Cuenta con más de 15 años en el sector. Hablamos con él a raíz del reciente ciberataque al Hospital Clínic de Barcelona.

En el momento en que redactamos esta entrevista, sabemos del ciberataque al Hospital Clínic de Barcelona que los piratas informáticos han pedido un rescate por los datos secuestrados: 4,5 millones de dólares (4,2 millones de euros) para liberar la información encriptada. El secretario de Telecomunicaciones y Transformación Digital de la Generalitat, Sergi Marcén, aseguró que han llegado a coger cuatro terabytes de datos, pero los investigadores desconocen qué tipo de información incluyen.

–¿Hasta qué punto a es posible un desastre nuclear o cualquier otro tipo de macro problema ambiental debido a ataques terroristas cibernéticos?
–Primero es importante indicar que, cuando hablamos de objetivos como plantas nucleares, refinerías o transporte ferroviario, nos referimos a un tipo de red tecnológica diferente a la que habitualmente conocemos. En este caso las redes tecnológicas de las que hablaremos serán redes OT (Operational Technology). Las redes OT se utilizan en los sistemas de control industrial (Industrial Control Systems – ICS) para monitorizar y controlar procesos físicos como la fabricación, la generación de energía y el transporte. Estas redes suelen utilizar hardware y software especializados para interactuar con equipos físicos como sensores, actuadores y controladores lógicos programables (Programmable Logic Controllers – PLC). Las redes OT están diseñadas para el control y la supervisión en tiempo real y, por lo general, funcionan en entornos aislados o aislados para minimizar el riesgo de ataques cibernéticos. Sin embargo, es posible que un ataque terrorista cibernético contribuya a un desastre nuclear u otro problema ambiental macro, aunque la probabilidad de tal evento depende de varios factores. En el caso de un desastre nuclear, un ataque cibernético podría tener como objetivo los sistemas de control o las soluciones que se implementan en la capa de seguridad de una planta de energía nuclear, lo que provocaría un mal funcionamiento y en consecuencia un evento catastrófico. De manera similar, otros problemas ambientales macro, como vertidos de productos químicos, derrames de petróleo, fallas en represas o en cadenas de distribución, tal como lo vimos en USA hace unos años atrás con los problemas de distribución de combustible como consecuencia de un ciberataque. Sin embargo, la probabilidad y la gravedad de tales eventos dependerían de las circunstancias específicas y de la eficacia de las medidas de seguridad vigentes. En general, si bien un ataque terrorista cibernético podría contribuir potencialmente a un desastre nuclear u otro problema macro ambiental, es importante tener en cuenta que tales eventos suelen ser el resultado de una combinación de factores, incluidos errores humanos, fallas de equipos, desastres naturales, presencia de componentes vulnerables, los cuales se conjugan para que un ataque sea exitoso.

LOS ATACANTES
-¿Quién realiza ciberataques y por qué?
–Los ciberataques pueden ser llevados a cabo por una variedad de actores, incluidos individuos, organizaciones criminales, estados y grupos de hacktivistas. Las motivaciones detrás de los ataques cibernéticos también pueden variar ampliamente, según los objetivos del atacante. Algunos ejemplos de los tipos de atacantes y sus motivaciones:
    *Cibercriminales: Son personas o grupos que realizan ciberataques para obtener beneficios económicos o notoriedad. Pueden participar en actividades como el robo de información personal, números de tarjetas de crédito u otros datos confidenciales que pueden vender en el mercado negro o utilizar para el robo de identidad.
    *States-Sponsored: Los gobiernos y los grupos patrocinados por estados pueden llevar a cabo ataques cibernéticos por razones políticas, militares o económicas. Los estados pueden involucrarse en espionaje, robo de propiedad intelectual o interrupción de infraestructura crítica en otros países.    
    *Hacktivistas: Son personas o grupos que utilizan los ciberataques como forma de protesta o activismo. Pueden apuntar a organizaciones o personas que perciben como involucradas en actividades poco éticas o inmorales, o pueden usar ataques cibernéticos para promover su propia agenda política o social.
    *Insiders: Estos son empleados o contratistas que tienen acceso autorizado a los sistemas y datos de una empresa u organización. La motivación de este grupo para realizar ataques cibernéticos pasa por el beneficio personal, la venganza o para dañar a la empresa u organización para la que trabajan.

Las motivaciones detrás de los ataques cibernéticos pueden ser complejas y variadas, y pueden involucrar una combinación de factores financieros, políticos, ideológicos o personales. Es importante que las organizaciones comprendan los diferentes tipos de atacantes y sus motivaciones para desarrollar estrategias de ciberseguridad efectivas y defenderse de posibles amenazas.

LAS RAZONES
–Porque algunos ciberataques no sirven para nada, ¿no? ¿O sí?
–En este caso podríamos clasificarlos en el contexto del éxito o no de un ciberataque, ya que el concepto servir o no es bastante subjetivo, dependiendo del punto de vista tanto del atacante como del objetivo. Habiendo aclarado esto, debo decir que hay una serie de razones por las que un ciberataque puede ser exitoso o no. Algunas de las posibles razones serían:
    *Medidas de seguridad sólidas: Muchas organizaciones han implementado medidas de seguridad sólidas para proteger sus redes y sistemas contra ataques cibernéticos. Estas medidas pueden incluir cortafuegos, sistemas de detección de intrusos y otras tecnologías de seguridad que pueden ayudar a detectar y bloquear ataques cibernéticos.
    *Capacitación efectiva del usuario: Muchos ataques cibernéticos se basan en tácticas de ingeniería social, como correos electrónicos de phishing, para engañar a los usuarios para que hagan clic en enlaces maliciosos o descarguen malware. Las organizaciones que brindan capacitación efectiva a los usuarios sobre cómo reconocer y evitar este tipo de ataques pueden ayudar a reducir la tasa de éxito de los ataques cibernéticos.
    *Parches de vulnerabilidades: Los atacantes cibernéticos a menudo se basan en la explotación de vulnerabilidades conocidas en software y sistemas para obtener acceso a redes y datos. Las organizaciones que corrigen rápidamente estas vulnerabilidades pueden dificultar que los atacantes las exploten con éxito.
    *Respuesta efectiva a incidentes: Las organizaciones que cuentan con planes efectivos de respuesta a incidentes pueden detectar y responder rápidamente a los ataques cibernéticos, minimizando el daño que pueden causar los atacantes. Esto puede incluir acciones como aislar sistemas infectados, deshabilitar cuentas comprometidas y restaurar datos de copias de seguridad.
    *Complejidad del ataque: Algunos ataques cibernéticos requieren un alto grado de habilidad técnica y recursos para llevarse a cabo con éxito. Los atacantes pueden ser disuadidos por la complejidad del ataque o los riesgos potenciales involucrados.
    *Suerte: Finalmente, vale la pena señalar que algunos ataques cibernéticos pueden simplemente fallar debido a la suerte. Los atacantes pueden cometer errores, encontrar obstáculos inesperados o simplemente no encontrar la información o el acceso que buscaban.

-HOSPITAL CLÍNIC DE BCN
-¿Qué gana alguien que ciberataca al Hospital Clínic, por ejemplo?
–Un ciberataque exitoso al sistema de salud en general puede tener graves consecuencias, tanto para la organización atacada como para los pacientes cuyos datos pueden haberse visto comprometidos. Las recompensas o motivaciones potenciales para los atacantes pueden variar. Algunas recompensas potenciales por un ataque cibernético en el sistema de salud… Veamos… Podemos mencionar algunas:
    *Ganancia financiera: En algunos casos, los atacantes pueden estar motivados por la ganancia financiera, ya sea robando datos de pacientes que pueden venderse en el mercado negro o usando ransomware para exigir el pago a cambio de restaurar el acceso a los datos cifrados.
    *Robo de datos: Los datos de los pacientes pueden ser valiosos por varias razones, como su uso en el robo de identidad o para obtener acceso a otros sistemas o cuentas que pueden estar vinculados al sistema de atención médica. Los atacantes pueden robar datos de pacientes y usarlos para diversos fines, como crear recetas fraudulentas, reclamos de seguros u obtener servicios médicos.
    *Interrupción: Pueden estar motivados por el deseo de interrumpir los servicios de atención médica o causar caos y daños. Pueden usar técnicas como ataques de denegación de servicio para sobrecargar los sistemas e interrumpir las operaciones.
    *Espionaje: En algunos casos, los actores de un estado-nación u otros grupos pueden estar interesados en obtener información confidencial sobre los sistemas de salud o los pacientes con fines políticos o estratégicos.

En general, las recompensas por los ciberataques al sistema de salud pueden variar ampliamente según los objetivos de los atacantes. Independientemente de las motivaciones, las consecuencias de los ataques cibernéticos exitosos pueden ser significativas y pueden tener efectos duraderos tanto en los pacientes como en los proveedores de atención médica.

INFORMACIONES CLASIFICADAS
–¿Los que trabajan protegiendo a instituciones y entidades de los ciberataques tienen información “delicada” sobre el funcionamiento de esas entidades e instituciones?
–En muchas organizaciones, los responsables de la ciberseguridad pueden tener acceso a información sensible sobre el funcionamiento de la entidad o institución. Esto se debe a que la efectividad de la ciberseguridad a menudo requiere una comprensión profunda de la infraestructura, los sistemas y los flujos de datos de una organización. Los profesionales de la ciberseguridad pueden necesitar analizar el tráfico de la red, revisar los registros del sistema e investigar posibles amenazas para identificar y mitigar los riesgos. Sin embargo, el acceso a la información confidencial suele estar restringido y controlado mediante políticas y procedimientos de seguridad. Por lo general, se requiere que los profesionales de ciberseguridad firmen acuerdos de no divulgación (NDA) y se adhieran a estrictos códigos de conducta para garantizar que no hagan un mal uso o divulguen información confidencial. Además, las organizaciones pueden implementar controles de seguridad adicionales para limitar el acceso a información confidencial solo a aquellos que la necesitan para realizar sus funciones laborales. Los controles de acceso, como el control de acceso basado en roles (RBAC) y el privilegio mínimo, pueden ayudar a garantizar que los profesionales de ciberseguridad solo tengan acceso a la cantidad mínima de información necesaria para realizar sus funciones laborales. Si bien los profesionales de la ciberseguridad pueden tener acceso a información confidencial, este acceso generalmente se controla y supervisa para garantizar que la información esté protegida contra el uso indebido o la divulgación no autorizada.

SANIDAD PÚBLICA
-¿De qué manera se manifiesta todo esto en la sanidad pública y qué consecuencias tiene?
–Si los responsables de la ciberseguridad de una institución de la sanidad pública tienen acceso a información sensible sin la debida supervisión, puede acarrear varias consecuencias:
    *Violación de datos: Si el personal de ciberseguridad con acceso a información confidencial no está debidamente supervisado, puede hacer un mal uso o divulgar esta información, lo que lleva a una violación de datos. Una violación de datos puede resultar en pérdidas financieras, daños a la reputación y sanciones legales y reglamentarias.
    *Amenazas internas: El personal de ciberseguridad no supervisado también puede representar una amenaza interna. Pueden causar daño a la organización de manera intencional o no al robar datos, dañar sistemas o introducir malware u otro código malicioso.
    *Infracciones de cumplimiento: Si el personal de ciberseguridad con acceso a información confidencial no está debidamente supervisado, es posible que infrinja sin darse cuenta los requisitos legales o reglamentarios, como el Reglamento general de protección de datos (GDPR) o la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA).
    *Pérdida de confianza: Si se descubre que el personal de ciberseguridad de una organización ha accedido a información confidencial sin la supervisión adecuada, puede dañar la confianza entre la organización y sus clientes, socios y otras partes interesadas.

Para mitigar estos riesgos, las mejores prácticas recomiendan la implementación de controles de acceso, monitoreo y supervisión adecuados del personal de ciberseguridad con acceso a información confidencial. Esto puede incluir la implementación de controles de acceso basados en funciones, la separación de tareas, la realización de auditorías y evaluaciones de seguridad y la capacitación periódica sobre las mejores prácticas de ciberseguridad y la importancia de proteger la información confidencial.

EXPOSICIÓN A VIRUS
-¿Un ciberataque en una institución privada, por ejemplo, un laboratorio, o algo similar, podría exponer a la ciudadanía a virus y/o bacterias peligrosas
-Sí. Efectivamente, un ciberataque a una institución privada, como un laboratorio, podría exponer a los ciudadanos a virus y/o bacterias peligrosas. Esto se debe a que muchos laboratorios y otras instalaciones que manejan patógenos peligrosos dependen de sistemas informáticos para administrar sus operaciones y controlar el acceso a áreas sensibles. Un ataque cibernético a los sistemas informáticos de un laboratorio podría comprometer potencialmente los controles de seguridad, permitiendo que personas no autorizadas accedan a las instalaciones y a los patógenos que contiene. Además, un ciberataque también podría interrumpir sistemas críticos, como los que se utilizan para monitorear y controlar las condiciones ambientales, lo que podría comprometer la seguridad y eficacia de la investigación del laboratorio. Además, si el laboratorio participa en investigaciones relacionadas con enfermedades infecciosas, un ciberataque podría comprometer la seguridad de los datos relacionados con los estudios de investigación y la información de los pacientes. Esta información podría ser utilizada por actores maliciosos para crear y diseminar virus o bacterias peligrosas, lo que podría poner en riesgo a los ciudadanos. Para mitigar estos riesgos, los laboratorios y otras instituciones que manejan patógenos peligrosos deben implementar medidas sólidas de ciberseguridad, incluida la segmentación de la red, el cifrado, los controles de acceso y las auditorías y evaluaciones de seguridad periódicas. Además, estas instalaciones también deben contar con planes de contingencia para responder a incidentes de ciberseguridad y para mitigar el impacto de cualquier infracción que ocurra.

ALGUNOS EJEMPLOS
-¿Se han dado casos ya en este sentido? ¿Algún ejemplo?
-Sí, los laboratorios biológicos y organizaciones privadas dedicadas a la salud han sido objetivos de ciberataques en los últimos años. Algunos ejemplos:
    *Ataque WannaCry Ransomware del Servicio Nacional de Salud (NHS) (2017): Este ataque tuvo como objetivo el Servicio Nacional de Salud del Reino Unido, pero también afectó a otras organizaciones en todo el mundo, incluidos los laboratorios biológicos. El ransomware WannaCry bloqueó a los usuarios de sus sistemas y exigió el pago a cambio del acceso. Algunos laboratorios se vieron obligados a cerrar sus operaciones durante el ataque.
    *Ataque de ransomware de la Universidad de Calgary (2016): En este ataque, la Universidad de Calgary en Canadá pagó un rescate de $ 20,000 a los ciberdelincuentes que habían infectado los sistemas informáticos de la universidad con ransomware. La Facultad de Medicina de la universidad, que incluye varios laboratorios biológicos, estuvo entre los departamentos afectados por el ataque.
    *Ataque de ransomware de la Universidad de Maryland (2019): Este ataque se dirigió al Departamento de Química y Bioquímica de la Universidad de Maryland. Los atacantes exigieron el pago a cambio del acceso a los sistemas afectados.
    *Ataque cibernético de la Universidad Nacional de Australia (2019): En este ataque, los piratas informáticos obtuvieron acceso no autorizado a los sistemas informáticos de la universidad, incluidos los utilizados por los laboratorios biológicos. Se creía que los atacantes estaban patrocinados por el estado y, según los informes, buscaban información relacionada con la defensa y la seguridad nacional.
    *Ataque de la cadena de suministro de SolarWinds (2020): Aunque este ataque no se dirigió específicamente a los laboratorios biológicos, afectó a numerosas organizaciones en todo el mundo, incluidas las de los campos de la salud y la biomedicina. El ataque involucró la inserción de malware en el software SolarWinds Orion, que las organizaciones utilizan ampliamente para la administración de redes. Los atacantes pudieron acceder a datos confidenciales y controlar algunos sistemas.

Estos ejemplos demuestran los riesgos potenciales que plantean los ataques cibernéticos a los laboratorios biológicos y la importancia de implementar medidas sólidas de ciberseguridad para protegerse contra estas amenazas.