“Te puedo decir con total seguridad que los ataques de ransomware perjudican a los pacientes”, asegura Hannah Neprash, profesora asociada de política sanitaria de la Universidad de Minnesota, que ha investigado el impacto de este tipo de amenazas a los hospitales estadounidenses y llegó a la conclusión de que provocan tasas de mortalidad más elevadas. “Si eres un paciente que tiene la desgracia de estar ingresado en un hospital cuando sufre un ataque de ransomware, la probabilidad de que te vayas por la puerta disminuye”, destaca Neprash. “Cuanto más larga sea la interrupción, peores serán los resultados en materia de salud”.
En las horas y días inmediatamente posteriores a los ataques de ransomware, es habitual que las empresas que disponen de software conectado a la organización afectada retiren sus servicios. Esto incluye desde desactivar los historiales médicos hasta negarse a enviar emails a una víctima de ciberataque. Aquí es donde entran en juego las llamadas cartas de garantía.
“En los últimos años, hemos visto aumentar la demanda de estas cartas, a medida que las violaciones se han vuelto mucho más conflictivas: desde abogados de demandas colectivas que persiguen acuerdos hasta demandas entre empresas”, observa Chris Cwalina, responsable global de ciberseguridad y privacidad del despacho de abogados Norton Rose Fulbright.
Cwalina indica que no está seguro de dónde y cuándo empezó la práctica de enviar cartas de garantía, pero señala que es probable que empezara con abogados o profesionales de la seguridad que malinterpretaron los requisitos legales o los riesgos que intentan prevenir. “No existe ningún requisito legal que obligue a solicitar u obtener una atestación antes de que los sistemas puedan volver a conectarse”, apunta Cwalina.
Estas cartas de garantía y atestación suelen elaborarse con el apoyo de compañías especializadas en ciberseguridad contratadas para responder a los incidentes. Qué se puede volver a conectar y cuándo variará en función de los detalles concretos de cada ataque.
Pero gran parte de la toma de decisiones se reduce al riesgo, o al menos al percibido. Charles Carmakal, director de tecnología de la firma de ciberseguridad Mandiant, propiedad de Google, explica que a las empresas les preocupará que los ciberdelincuentes se muevan “lateralmente” entre la víctima y sus sistemas. Las empresas quieren saber que un sistema está limpio y que los atacantes han sido eliminados de estos, resalta Carmakal.
“Comprendo la razón de ser del proceso de garantía. Lo que yo diría es que la gente tiene que considerar realmente cuál es el riesgo asociado al nivel de conectividad entre dos partes, y a veces la gente tiende a optar por defecto por la vía más restrictiva”, subraya Carmakal. Por ejemplo, es raro que Mandiant observe que un ransomware gusano pase de una víctima a otra, afirma.
“A los proveedores les interesaba saber que expertos en ciberseguridad independientes y externos colaboraban con los equipos técnicos de Scripps y verificaban que el malware se contenía y remediaba con los mejores esfuerzos razonables”, comenta Thielman, director de Información de Scripps Heath. En el caso de Ascension, cuenta Fitzpatrick, la empresa también mantuvo llamadas individuales con los proveedores y organizó ocho seminarios web en los que facilitó actualizaciones. También ha compartido indicadores de compromiso, los rastros dejados por los atacantes en sus sistemas, con organizaciones sanitarias y con la Agencia de Seguridad Cibernética y de Infraestructuras de EE UU (CISA, por sus siglas en inglés).
Las fuerzas de seguridad aseguran haber identificado a Dmitry Khoroshev, la persona que presuntamente está detrás de LockBitSupp y en el centro del ataque informático de LockBit, por un valor de 120 millones de dólares.
Doctrina de proveedores externos
Los ciberdelincuentes se han vuelto más descarados con los ataques contra hospitales y organizaciones médicas en los últimos años; en un caso, la banda de ransomware Lockbit declaró que tenía normas contra los ataques a hospitales, pero atacó a más de 100. A menudo, este tipo de agresiones afectan directamente a empresas del sector privado que prestan servicios a infraestructuras públicas u organizaciones médicas.
“Si nos fijamos en el panorama de las amenazas en los próximos años, la interrupción de los servicios y la actividad públicos causada por la operación [de la ciberdelincuencia] que afecta al sector privado es probablemente algo que pasará cada vez más”, advierte Ciaran Martin, profesor de la Universidad de Oxford y exdirector del Centro Nacional de Ciberseguridad de Reino Unido. En estos casos, sugiere Martin, pueden plantearse cuestiones sobre si los gobiernos tienen, o necesitan, poderes para ordenar a las empresas privadas que respondan de determinadas maneras.
Esta información pertenece a su autor original y se encuentra disponible en: https://es.wired.com/articulos/burocracia-empeora-ataques-de-ransomware-a-hospitales