Ciberataque mortal

En los últimos años los ataques informáticos se han convertido en una preocupación creciente, no sólo de los gobiernos occidentales, sino también por parte de la sociedad civil y del sector privado. A pesar de las distintas iniciativas nacionales y europeas para crear un entorno digital seguro, según el último Eurobarómetro sobre ciberseguridad publicado a principios de año, las principales preocupaciones de los ciudadanos europeos en la Red se centraban en el cibercrimen y la privacidad. El 75% de los encuestados consideraban, además, que podían ser víctimas de un ciberataque.

Esta preocupación la encontramos también en el sector privado, y se refleja en las inversiones que los organismos y empresas están realizando en los últimos años para garantizar la protección de sus datos una vez que han analizado el coste económico y de reputación que puede implicarles un ataque cibernético, cada vez más frecuentes. De hecho, según un informe del Foro Económico Mundial de 2019, los ciberataques se han convertido en la segunda mayor preocupación en el ámbito empresarial.

 

En este contexto de inseguridad digital, una de las mayores preocupaciones la encontramos en la posibilidad de que un ciberataque provoque la muerte de personas. Actualmente los gobiernos ya contemplan en sus documentos estratégicos que pueda producirse ataques informáticos contra alguna infraestructura crítica –es decir, aquellas que ofrecen servicios esenciales en sectores estratégicos como el agua, la luz o el transporte– y que éste pueda poner en peligro vidas humanas. Pero también hay que tener en cuenta que a esta posibilidad ha contribuido la idea que nos hemos hecho del ciberespacio a través de la literatura y el cine, en la que la ciencia ficción se ha trasladado a nuestra realidad y ya no participamos como lectores o espectadores, sino como potenciales víctimas de un ataque informático que provoca una catástrofe mundial. Pero, en ocasiones, la realidad es menos espectacular que la ficción.

A mediados de septiembre se produjo un ciberataque que paralizó los sistemas informáticos del Hospital Universitario de Düsseldorf, en Alemania, que consistió en un ataque por ransomware que provocó la encriptación y el secuestro de los servidores del hospital. Este incidente afectó al normal funcionamiento del centro sanitario impidiendo el acceso a los historiales clínicos de los pacientes, a los servicios de urgencias o suspendiendo operaciones ya programadas. En estas circunstancias, una paciente que necesitaba atención urgente no pudo ser atendida y tuvo que ser derivada a otro hospital a treinta kilómetros de distancia pero, debido a su estado de salud, falleció de camino.

 

A partir de este lamentable suceso, algunos responsables de ciberseguridad y analistas no han dudado en calificar este incidente como la primera muerte por ransomware. Si bien el titular es atractivo, esta muerte debería replantearnos cuál es la situación de la ciberseguridad.

En primer lugar, es evidente que hay una conexión entre el ataque informático y la muerte de esta persona, ya que provocó un retraso en su atención en un momento de urgencia en el que es necesaria una rápida intervención médica. Pero el hecho de plantear que es la primera muerte por ransomware da a entender que la muerte ha sido provocada por el ciberataque prácticamente sin tener en cuenta cuestiones básicas como el estado de salud de la paciente. Sino se hubiese producido este incidente, ¿habría conseguido salvar su vida? ¿Fue el retraso en su atención la causa de su muerte? En la actualidad, debido a la gran dependencia que nuestras sociedades tienen del entorno digital, deberíamos tener desarrollados planes y estrategias para hacer frente a este tipo de incidentes que nos permitan mantener en funcionamiento -aunque de forma limitada- nuestros sistemas hasta que éstos se restablezcan por completo. Esto también es ciberseguridad.

 

Por otro lado, un elemento central de este incidente es determinar la autoría y los objetivos de este ataque. Aunque en un primer momento podía entenderse en el contexto de los ataques informáticos que está sufriendo el sector sanitario durante esta pandemia, las investigaciones policiales apuntan a que los atacantes tenían como objetivo, no este centro sanitario, sino los sistemas informáticos de la Universidad Heinrich Heine, a la cual el Hospital Universitario de Düsseldorf está asociado. De hecho, cuando la policía consiguió contactar con los atacantes y les informaron de que el ataque estaba afectando a un centro sanitario, éstos facilitaron la información necesaria para desencriptar los sistemas -no es un proceso inmediato, pueden tardar horas o días en restaurar por completo los sistemas-. Por otro lado, aunque en un primer momento se desconocía el origen del ataque, en los últimos días se han publicado noticias que apuntan a que lo habría realizado -¡oh, sorpresa!- un grupo de hackers con origen en Rusia. Otra vez. Y tal vez lo sea, pero debemos ser más exigentes con este tipo de investigaciones y que no todo lo que se desconoce acabe en el cajón de ‘un grupo de hackers rusos’. Hasta la fecha, se desconoce el motivo del ataque.

Pero sin duda, lo más llamativo es que según afirmó el presidente de la Oficina Federal de Seguridad de la Información -la agencia alemana encargada de la seguridad informática y de las comunicaciones-, las autoridades de ciberseguridad alemanas ya habían advertido a principios de año sobre esta vulnerabilidad y sus posibles consecuencias. Pero como ha ocurrido otras tantas veces –¿alguien recuerda WannaCry?–, los atacantes habrían aprovechado que no se habían realizado las actualizaciones de los parches de seguridad para realizar el ataque.

Este suceso nos muestra que todavía no estamos preparados para hacer frente a determinados incidentes cibernéticos. A pesar de que la responsabilidad es de quién ha realizado el ataque informático, debemos ser críticos y preguntarnos si se podía haber hecho más por evitar la muerte de esta persona y no señalar únicamente que ésta pueda considerarse la primera muerte por ransomware. Por un lado, encontramos que los atacantes aprovecharon una vulnerabilidad que había sido detectada con anterioridad y que no se había reparado, por lo que la actualización de los sistemas continúa siendo una de las tareas pendientes por parte de empresas y organismos. A su vez, también ha mostrado las limitaciones de las estrategias y planes de ciberseguridad, incapaces de dar respuesta a situaciones que, aunque excepcionales, hace tiempo que están sobre la mesa y con toda seguridad se producirán en otro momento.

Por ello, es necesario actualizar y agilizar los mecanismos de respuesta a este tipo de ataques, sobretodo en sectores básicos de nuestra sociedad como es la salud, a través de planes que contemplen distintos escenarios y que permitan atender a casos urgentes como el aquí expuesto. Continuamos enfocando la seguridad desde una perspectiva tradicional, material, pero no digital.