El mayor asalto informático que ha sufrido la provincia afectó a 50.000 profesionales de la Consejería de Salud
Los efectos del ciberataque al SAS en Granada no quedarán subsanados, al menos, hasta finales de octubre
Nuevas revelaciones sobre el mayor ciberataque en Granada, que afectó a 50.000 profesionales de la Consejería de Salud, con el robo de datos personales, y a las actividades en internet de los hospitales de la capital y de dos distritos sanitarios de la provincia. Lo analizamos con Manuel Jimber del Río, responsable de seguridad TIC del SAS.
En la mañana del pasado martes 9 de julio, un ciberdelincuente al que se busca atacó la página web del Hospital Universitario Clínico San Cecilio. Posteriormente, desde esa web, accedió también a información reservada de la del Hospital Universitario Virgen de las Nieves y a las de las dos principales -por el número de habitantes que atiende- áreas de gestión sanitaria de la provincia, las del Distrito Sanitario Granada-Metropolitano y la del Distrito Sur de Granada, que incluye el Hospital Santa Ana de Motril.
El mayor ciberataque registrado en Granada comenzó al lograr el 'hacker' romper la seguirdad de la web del Clínico San Cecilio. IndeGranada.
El 'hacker' pidió el pago de 2.500 dólares en bitcoin en 48 horas a cambio de la salvaguarda de los datos que logró robar de 50.000 profesionales que trabajan o han trabajado en los dos hospitales y los dos distritos sanitarios. El SAS no admitió el chantaje y no pagó el rescate, como así exige la normativa
Ante este hecho, se procedió a aislar los servidores y las webs afectadas, dejándolas en mantenimiento, así como otros servicios online provinciales.
El grave incidente salió a la luz cuando el hacker envió un correo al webmaster (responsable del desarrollo, correcto funcionamiento y mantenimiento de un portal de internet) de la web del San Cecilio y a otros destinatarios en el que informa que había detectado "una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico".
El hacker pidió el pago de 2.500 dólares en bitcoin en 48 horas a cambio de la salvaguarda de los datos que logró robar de 50.000 profesionales que trabajan o han trabajado en los dos hospitales y los dos distritos sanitarios. El SAS no admitió el chantaje y no pagó el rescate, como así exige la normativa.
La brecha en la seguridad afectó, según diversas fuentes de la Consejería de Salud y Consumo, a distintas bases de datos que contenían datos personales: nombre y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas), de 50.000 profesionales del SAS en Granada
El SAS comunicó el ataque a los organismos reguladores, así como a las Fuerzas y Cuerpos de Seguridad del Estado. La Brigada Central de Investigación Tecnológica de la Policía Nacional se ha hecho cargo de la investigación.
La brecha en la seguridad afectó, según diversas fuentes de la Consejería de Salud y Consumo, a distintas bases de datos que contenían datos personales: nombre y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas), de 50.000 profesionales del SAS en Granada, la mayoría de ellos, usuarios de varios sistemas de información accesibles a través de los portales webs atacados (foro, encuestas, aula virtual...) a distintos centros sanitarios de Granada., la de los dos hospitales y los dos distritos sanitarios.
El ciberdelincuente pudo hacerse con una copia de la información referida, lo que en sí mismo constituye una vulneración de la confidencialidad, si bien no se conoce que haya sido objeto de revelación, hasta el momento.
Las web del Virgen de las Nieves y el Clínico San Cecilio, así como de las áreas de gestión Granada.Metropolitana y Sur siguen desconectadas, con el mensaje de la imagen. Al menos hasta finales de octubre, no recuperarán la normalidad.
El ciberdelincuente pudo hacerse con una copia de la información referida, lo que en sí mismo constituye una vulneración de la confidencialidad, si bien no se conoce que haya sido objeto de revelación, hasta el momento
En ningún momento, reiteró la Consejería, hubo impacto en infraestructuras críticas ni en servicios asistenciales. No hubo comprometida información de pacientes ni de carácter bancario, según informó la Consejería de Salud y Consumo el pasado día 5 de agosto, casi un mes después de producirse el ataque informático, cuando informó de los hechos.
Salud desconoce si hay denuncias a nivel particular de profesionales que hayan sido posibles víctimas de suplantación.
No hubo comprometida información de pacientes ni de carácter bancario
Desde el pasado 9 de julio, el SAS, a través de la Subdirección de Tecnologías de la Información y la Comunicación (STIC) junto con el servicio provincial de Granada actúa “con máxima coordinación, tanto a nivel interno como externo, creando comisiones y comités de trabajo, con el objetivo de implementar las acciones necesarias para restablecer los servicios y llevar a cabo el proceso de restauración y protección de los datos".
La Junta de Andalucía no considera que exista un riesgo alto de impacto sobre cualquier usuario afectado, al esgrimir que el fin principal del atacante es un chantaje económico a la organización; pero aun así informó a los trabajadores afectados en un correo electrónico que deben ser cautos con cualquier actividad sospechosa
La Junta de Andalucía no considera que exista un riesgo alto de impacto sobre cualquier usuario afectado, al esgrimir que el fin principal del atacante es un chantaje económico a la organización; pero aun así informó a los trabajadores afectados en un correo electrónico que deben ser cautos con cualquier actividad sospechosa (llamadas, mensajes, correos...) y aplicar las medidas de seguridad a su alcance (cambio de contraseñas, revisión de comunicaciones, desconfiar de desconocidos...).
Los trabajos de respuesta a la incidencia, según Salud, han consistido en desconectar los servidores implicados para aplicar las mejoras técnicas y organizativas necesarias con el fin de evitar futuras réplicas de la incidencia, seguido de otra serie de tareas de investigación del incidente.
Y construir nuevas arquitecturas webs de los centros afectados, que aún están desconectadas.
Sobre el ataque, responde a nuestro cuestionario por escrito Manuel Jimber del Río, responsable seguridad TIC del SAS.
−¿Se conoce la autoría del ataque?
"El incidente en sí mismo no ha afectado a ningún servicio ni página web, aunque como ya se informó, hubo una exfiltración de datos de profesionales. Sin embargo, como media de precaución temporal, se han desconectado de la red las páginas webs alojadas en los servidores afectados por la exfiltración hasta la puesta en marcha de las medidas de seguridad necesarias para su vuelta al servicio"
−No, aún no se ha identificado al ciberdelicuente. En estos casos ponemos el incidente en conocimiento de la Unidad de Delitos Tecnológicos del Cuerpo Nacional de Policía que nos ha confirmado que se ha abierto la investigación correspondiente para este caso. No disponemos de más detalles al respecto.
−¿Qué incidencias ha ocasionado?
−El incidente en sí mismo no ha afectado a ningún servicio ni página web, aunque como ya se informó, hubo una exfiltración de datos de profesionales. Sin embargo, como media de precaución temporal, se han desconectado de la red las páginas webs alojadas en los servidores afectados por la exfiltración hasta la puesta en marcha de las medidas de seguridad necesarias para su vuelta al servicio.
"El impacto se limita a algunos servicios accesorios y secundarios dirigidos fundamentalmente a los propios profesionales"
Esta medida de aislamiento conlleva la parada de algunas de las webs de los hospitales Virgen de las Nieves y San Cecilio, así como del distrito sanitario de Granada y Área de Gestión Sanitaria Sur de Granada (Hospital de Motril).
El impacto se limita a algunos servicios accesorios y secundarios dirigidos fundamentalmente a los propios profesionales, y en ningún caso ha afectado ni a infraestructuras críticas ni a servicios sanitarios ni de emergencias.
−¿Confirma la Consejería que en ningún momento se han visto comprometidos datos de pacientes y tampoco servicios asistenciales o información bancaria? ¿Se mantiene la cifra de 50.000 profesionales afectados por la filtración?
"En los análisis forenses llevados a cabo hasta el momento no hemos encontrado ninguna evidencia que indique una exfiltración de datos de pacientes o datos de salud. De la misma manera tampoco ha habido exfiltración de datos bancarios"
−En los análisis forenses llevados a cabo hasta el momento no hemos encontrado ninguna evidencia que indique una exfiltración de datos de pacientes o datos de salud. De la misma manera tampoco ha habido exfiltración de datos bancarios. Sí hemos evidenciado la exfiltración de datos de unos 50.000 profesionales, fundamentalmente datos relacionados con los usuarios utilizados en las páginas web afectadas, entre los que se encuentran datos como nombre y apellidos, DNI, teléfonos corporativos, categoría profesional, correo corporativo, credenciales de usuario corporativo y sus contraseñas cifradas.
No obstante, se han iniciado nuevos análisis forenses externos con nuestro AndaluciaCERT con el objeto de verificar los hallazgos encontrados hasta el momento.
-¿Aún se sufren las consecuencias?
"En ningún caso el incidente ha impactado en lo que llamamos servicios esenciales ni servicios críticos. Es decir, ninguno de los servicios que presta el SAS a la ciudadanía y pacientes ha quedado fuera de servicio por este incidente. Citas, pruebas diagnósticas, consultas externas, atención primaria y hospitalizada y cualquier otra prestación de servicios sanitarios o de emergencias continúan funcionando con total normalidad"
−Como comentaba antes, las páginas webs afectadas continúan fuera de servicio como medida de precaución hasta que se pongan en marcha todas las medidas de seguridad necesarias, de forma que los servicios web que prestan no están disponibles desde internet en estos momentos.
−¿Sigue afectando a las actividades de los hospitales y/o a las del Área de Gestión Sanitaria Sur de Granada y Distrito Sanitario Granada-Metropolitano y el Distrito Sanitario Granada Metropolitano? ¿En citas, pruebas…? ¿En qué?
−En ningún caso el incidente ha impactado en lo que llamamos servicios esenciales ni servicios críticos. Es decir, ninguno de los servicios que presta el SAS a la ciudadanía y pacientes ha quedado fuera de servicio por este incidente. Citas, pruebas diagnósticas, consultas externas, atención primaria y hospitalizada y cualquier otra prestación de servicios sanitarios o de emergencias continúan funcionando con total normalidad. Solo algunos servicios web secundarios han resultado afectados como consecuencia de la medida de aislamiento llevada cabo.
−Dado que todavía hay incidencias, ¿cuándo se prevé que se normalice totalmente?
"Se estima que los nuevos entornos estarán preparados para finales del mes de octubre, pero esto puede depender de diversos factores de tipo técnico que podrían desplazar la fecha final de puesta en producción de los servicios"
−Los equipos TIC de la provincia de Granada están llevando a cabo los trabajos necesarios para el rediseño y renovación de una nueva arquitectura tecnológica que soportará los servicios web afectados.
Se estima que los nuevos entornos estarán preparados para finales del mes de octubre, pero esto puede depender de diversos factores de tipo técnico que podrían desplazar la fecha final de puesta en producción de los servicios.
−¿Se han implementado medidas de seguridad adicionales? ¿Cuáles son? ¿Solo en Granada o se han extendió a toda Andalucía?
−En concreto, para los sistemas afectados por este incidente, los equipos TIC de Granada han comenzado a trabajar en la renovación de la arquitectura tecnológica implicada, de forma que los nuevos sistemas que se pondrán en producción estén actualizados y sin vulnerabilidades conocidas.
"Para los sistemas afectados por este incidente, los equipos TIC de Granada han comenzado a trabajar en la renovación de la arquitectura tecnológica implicada, de forma que los nuevos sistemas que se pondrán en producción estén actualizados y sin vulnerabilidades conocidas"
Se han incluido también medidas de protección dirigidas a la protección de los servicios y aplicaciones web, y antes de su puesta en producción, se llevarán a cabo pruebas de seguridad y de intrusión para verificar la seguridad de esta nueva arquitectura.
Como medidas transversales a toda la organización hace tiempo que se trabaja en la mejora de la seguridad de todos los sistemas de información. Esto incluye numerosas medidas organizativas, operacionales y de protección, especialmente en el refuerzo de las medidas de vigilancia, monitorización y respuesta a posibles ciberataques. En este sentido trabajamos siempre en cooperación con otros organismos como AndalucíaCERT y el Centro Criptológico Nacional.
"Se han incluido también medidas de protección dirigidas a la protección de los servicios y aplicaciones web, y antes de su puesta en producción, se llevarán a cabo pruebas de seguridad y de intrusión para verificar la seguridad de esta nueva arquitectura"
Pero la medida de seguridad fundamental es un trabajo continuo y de largo recorrido, y consiste en el establecimiento de los mecanismos necesarios (procesos, personas y tecnologías) para el mantenimiento adecuado y continuo de los sistemas y de su seguridad. Para garantizar que estos incidentes no vuelven a impactarnos, tenemos que ser conscientes de que las amenazas están en constante evolución, que cada día aparecen nuevas vulnerabilidades, y que, por tanto, las medidas de seguridad deben ir evolucionando y adaptándose a este contexto cambiante.
