El Servicio Andaluz de Salud ha informado este lunes de un "incidente de seguridad" en la provincia de Granada en el que se han filtrado los datos de 50.000 profesionales. La Junta, que ha desvelado este cibertaque prácticamente un  mes después de producirse, asegura que en ningún momento se han visto comprometidos datos de pacientes y tampoco servicios asistenciales o información bancaria. 

Según la información facilitada por la Junta, "la mañana del pasado martes 9 de julio se detectó un incidente de seguridad que afectaba a las páginas web de los hospitales universitarios Clínico San Cecilio y Virgen de las Nieves, así como a las del Área de Gestión Sanitaria Sur de Granada y Distrito Sanitario Granada-Metropolitano". Concretamente, en ese ciberataque "se han visto afectados datos de profesionales de la provincia". "Si bien, el incidente no ha impactado a infraestructuras críticas, es decir, no implica impacto en servicios asistenciales ni en datos de pacientes o de carácter bancario", precisa el comunicado distribuido por la Junta.

Salud desconoce si hay denuncias a nivel particular de profesionales que hayan sido posibles víctimas de suplantación

Desde el 9 de julio, el Servicio Andaluz de Salud (SAS), a través de la Subdirección de Tecnologías de la Información y la Comunicación (STIC) junto con el servicio provincial de Granada, "está actuando con máxima coordinación, tanto a nivel interno como externo, creando comisiones y comités de trabajo, con el objetivo de implementar las acciones necesarias para restablecer los servicios y llevar a cabo el proceso de restauración y protección de los datos".

"Inmediatamente el SAS ha comenzado la gestión del incidente con los organismos reguladores, así como con Fuerzas y Cuerpos de Seguridad del Estado", explica el comunicado del SAS. Fuentes conocedoras de la investigación abierta consultadas en Salud por Europa Press han apuntado a que se han denunciado los hechos si bien no constan otras denuncias a nivel particular de profesionales que hayan sido posibles víctimas de suplantación.

Los hechos se conocieron cuando se recibió una petición de rescate económico

"Los hechos salieron a la luz cuando un atacante mandó un correo al webmaster de la web del Hospital Universitario Clínico San Cecilio y a otros destinatarios, indicando que había detectado una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico", expone la Junta. 

El atacante pidió 2.500 dólares en bitcoin en 48 horas para no publicar los datos

En concreto, según Europa Press, el atacante pidió 2.500 dólares en bitcoin en 48 horas para no publicar los datos, que no se pagó, como estipula la normativa, una petición de rescate que se puso en conocimiento de las autoridades competentes, también en el ámbito estatal.  

Ante este hecho, se procedió a "aislar los servidores y las webs afectadas, dejándolas en mantenimiento, así como otros servicios online provinciales". En este tiempo se ha procedido a la actualización de servidores, y a cambiar contraseñas y restringir el acceso a bases de datos.

Tras un primer análisis, el SAS asegura que "se han encontrado indicios de filtración de datos, como nombre y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas de unos 50.000 profesionales del SAS, no todos en activo". 

En relación con la disponibilidad, las páginas web y servicios afectados se encuentran "inactivos" hasta que no finalicen las tareas de investigación. 

El SAS pide a los profesionales que presten "especial atención" a cualquier requerimiento de datos para "evitar eventuales suplantaciones"

"Desde el primer momento, se cuenta tanto con los medios humanos necesarios como con las herramientas para la detección y respuesta ante este tipo de incidentes", destaca el SAS. 

Los datos que han podido ser sustraídos se remontan hasta a siete u ocho años atrás. "Mientras no se disponga de toda la información", el SAS explica que ha comunicado el incidente vía correo electrónico con los profesionales afectados, recomendando "prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correo electrónico, terminales móviles u otros medios, para evitar eventuales suplantaciones". 

Por su parte, el responsable de Seguridad de Tecnologías de la Información y Comunicación del SAS, Manuel Jimber, ha detallado, en un audio remitido a los medios, que, en un primer análisis forense, es en el que se ha verificado que "no ha habido filtración de datos de pacientes", si bien se han iniciado otros "más exhaustivos" con la colaboración de Andalucía CERT, el equipo de profesionales que tiene la Junta dedicado a prevenir, detectar y responder eficazmente a los incidentes de seguridad que puedan materializarse sobre los sistemas informáticos, para verificarlo.

Entre los organismos a los que se ha puesto en conocimiento de los hechos está el Consejo de Transparencia y Protección de Datos de Andalucía, ha precisado este portavoz, que ha indicado que los portales estarán activos cuando el SAS tenga la "garantía de que sean desplegados las medidas de seguridad necesarias".

Los profesionales deben de tener en cuenta especialmente "posibles comunicaciones o requerimientos de datos a través de correos, 'phishing' o mensajes SMS que les puedan llegar a su correo electrónico", ha agregado Jimber.