Autor: Marco Crabu para Ciberprisma – Gentileza de OFCS REPORT Italia

Esta es la primera vez que un hospital israelí, el Hillel Yaffe de Hadera, ha colapsado a causa de un ciberataque.

Después de la extensa serie de ataques ransomware que durante el último año ha golpeado tanto a infraestructuras críticas, organismos institucionales, como a empresas industriales y comerciales, ahora parece ser el turno de la estructura sanitaria, también en el país hebraico.

Hasta este momento, los hospitales y centros médicos se habían mantenido ajenos a las incursiones de los delincuentes cibernéticos, por obvias razones éticas y morales, pero ahora parece que no existen más obstáculos a la estupidez humana dado que la ambición por el dinero y la búsqueda de reconocimiento no impiden la ocurrencia de los ataques más impredecibles.

El pasado miércoles 13 de octubre, probablemente a primera hora de la mañana, el hospital Hillel Yaffe en la ciudad de Hadera, al norte de Netanya, fue víctima de las acciones de los ciberdelincuentes que pusieron en dificultades la totalidad del sistema informático del organismo sanitario, impactando en particular en el sistema de control de acceso y registro de admisión y egreso de pacientes, generando el consiguiente caos.

Algunas versiones sostienen que los profesionales de la sanidad no tuvieron más remedio que recurrir al empleo de métodos rudimentarios, como el «lápiz y papel», para intentar frenar las consecuencias del ataque en la fase inicial, viéndose obligados a anotar de manera manual todos los datos de los pacientes.

El ataque fue tan repentino que nadie advirtió nada. Sin embargo, una vez advertido, el incidente fue reportado de manera inmediata al Ministerio de Salud y a la Dirección Nacional de Ciberseguridad de Israel (INCD por su sigla en idioma inglés).

Estos dos organismos y la mencionada Unidad 8200 tomaron el control de la situación y procedieron a difundir de manera preventiva el estado de alerta al resto de los Centros Médicos del país, ante la probabilidad que las acciones de los ciberdelincuentes se extendieran a otros nosocomios.

Hacia el final del día el virus todavía estaba activo, por lo que la Dirección del Hospital no tuvo más remedio que desviar todas las admisiones de nuevos pacientes a otras instituciones y ciudades cercanas, como el Hospital Laniado en la ciudad de Netanya.

Afortunadamente, a pesar de la operación descripta, el hospital mantuvo su funcionamiento de manera normal, incluso los servicios específicos más críticos, como las áreas de Tomografía Computada y Resonancia Magnética, no se vieron comprometidos ni sufrieron interrupciones.

No se difundieron demasiados detalles técnicos sobre el ciberataque, más allá que habría sido bajo la modalidad de ransomware, la plaga mundial de la última década que ha tenido en jaque a la infraestructura crítica en casi todos los continentes.

Los ciberdelincuentes emplean esta técnica para bloquear los dispositivos informáticos de la víctima y solicitar un rescate como condición para su recuperación; por lo general proceden al cifrado de los datos contenidos en el dispositivo volviéndolo inutilizable y ofrecen la disponibilidad de la clave para su descifrado con posterioridad a que se haga efectivo el pago solicitado, por lo general en criptomonedas (Bitcoin y Monero son las más utilizadas para estos fines).

Resulta evidente prever que en los casos dirigidos a los hospitales, los atacantes especulan que ante el temor por no poder garantizar el funcionamiento de las actividades críticas que se desarrollan en la institución o que se proceda a la divulgación de los datos clínicos de los pacientes, los dirigentes del hospital sólo pueden optar por satisfacer el requerimiento de rescate.

La Dirección Nacional de Ciberseguridad recomienda no acceder nunca a las solicitudes de rescate dado que, por norma general, si durante el ataque se exfiltraron datos puede ocurrir que los mismos no sean restituidos a la víctima una vez pagado el rescate y lo que es aún peor, podrían venderlos de todas formas en la Dark Web al mejor postor, como ya ha acaecido.

Más bien, resulta menester invertir en formación y poner en marcha todas las medidas adecuadas y necesarias para contrarrestar los ciberataques. Además se requiere verificar y posiblemente realizar copias de seguridad del sistema informático (Disaster Recovery), para poder si es necesario en caso de un ciberataque, restaurar rápidamente la funcionalidad normal de la organización de salud.

La DNC israelí también ha informado que en el 2020 la ocurrencia de incidentes se vio incrementada en un 30% con respecto al año anterior, lo que evidencia una tendencia en aumento de los eventos generados por los ciberdelincuentes.

En este caso, probablemente el código malicioso se introdujo en la red hospitalaria a través de un troyano de acceso remoto (RAT por su sigla en idioma inglés) que pudo ejecutarse en cualquier dispositivo informático y haberse autoinstalado de manera silenciosa eludiendo los controles del antivirus sin que el usuario pudiera llegar a advertirlo.

Se presume que el incidente pudo haber sido obra de un grupo de jóvenes hackers (término que no tiene necesariamente una connotación negativa, aunque sí en este caso) que también habrían vulnerado la ciberseguridad de otro hospital en EEUU. Pero aún es muy reciente el hecho como para hacer suposiciones.

Hasta el momento no se difundió la noticia de petición de rescate (pero que casi con seguridad ocurrió), así como tampoco las autoridades del nosocomio han confirmado que hubiera existido una probable exfiltración de datos que pudiera poner en riesgo la privacidad de los pacientes y de las diferentes actividades sanitarias que se llevan a cabo en el Centro Médico.

¿Está Irán detrás de estos ciberataques?

En realidad el ciberataque perpetrado el citado miércoles resulta bastante particular y un tanto «confuso» y misterioso, lo que genera cierto grado de perplejidad en quienes están realizando la investigación.

Algunos incluso sospechan que se trató de un ataque ransomware falso, de hecho los ciberdelincuentes han dejado en claro la intencionalidad destructiva del ataque al sistema informático al que han tenido acceso, llegando incluso a la eliminación de archivos.

Esto se debe a que en los últimos tiempos Israel ha estado siendo víctima de una ola de ataques malware, incluso de operaciones de ciberespionaje, ejecutadas por piratas informáticos y que se han atribuido a grupos que comparten una matriz común: Irán.

Precisamente, la semana anterior, se filtró que una reconocida empresa informática, Cybereason, fue víctima de una vasta campaña de ciberespionaje perpetrada por un grupo de especialistas informáticos que opera desde 2018, denominado Malkamak, y que es financiado por Teherán. Algunas de estas operaciones también exfiltraron información sensible de los sistemas de algunas empresas relevantes del sector de las telecomunicaciones y del ámbito aeroespacial que operan en Israel, Estados Unidos, Medio Oriente, Europa y Rusia.

En septiembre, otro grupo de ciberdelincuentes, también iraní, conocido como Deus, dirigió un ciberataque contra la empresa telefónica israelí Voicenter que resultó en el robo de una importante cantidad de datos, entre ellos tarjetas de identificación, correos electrónicos, registros telefónicos, fotos e imágenes, grabaciones de video de las cámaras de seguridad, etc. Los delincuentes también publicaron en la Dark Web 15 Terabytes de datos vinculados a la víctima, amenazando al servicio del centro de llamadas que procederían a la entrega de parte de los datos exfiltrados a los principales clientes de la empresa, si no pagaban un rescate valuado en 15 Bitcoins dentro de las doce horas posteriores al incidente, ocurrido el 19 de septiembre pasado. Y en caso de retraso en hacer efectivo el pago agregarían 10 Bitcoin por cada 12 horas de demora.

En agosto, nuevamente, se produjo una intrusión a la Universidad Bar- Ilan, una universidad pública de investigación ubicada en la ciudad de Ramat Gan en el distrito de Tel Aviv y que además es la segunda institución académica más importante de Israel. Parece que este ciberataque también es atribuible al mismo grupo de piratas informáticos iraníes, conocido como Agrius, que en 2020 había atacado a la empresa de seguros Shirbit. En ambos casos, los ciberataques estuvieron enmascarados como ransomware, pero su verdadero objetivo fue dañar e inutilizar los sistemas informáticos de las víctimas mediante el borrado de archivos contenidos en ellos.

La guerra cibernética que conduce Irán contra Israel es de larga data, pero promete ser cada vez más solapada e intolerable, sobre todo si está dirigida contra infraestructuras civiles críticas, como los hospitales, que están protegidas por el derecho internacional.

Tras este episodio, Israel se sumará a la iniciativa de cooperación internacional contra los ciberataques que emplean la modalidad de ransomware contra infraestructuras críticas y de significativa importancia.

  • Marco Crabu – Licenciado en Ciencias Sociológicas, Facultad de Ciencias Políticas de la Universidad de Bolonia. Especialista en Seguridad, Geopolítica y Defensa

Artículo publicado originalmente en italiano el 15/10/2021 en OFCS.Report – Osservatorio – Focus per la Cultura della Sicurezza, Roma, Italia, https://www.ofcs.it/cyber/israele-cyber-attacco-colpisce-lospedale-hillel-yaffe/#gsc.tab=0

Artículo traducido al castellano por Ciberprisma con autorización expresa del autor y del editor de OFCS.Report