Hackean un centro médico de Zaragoza y publican información sensible de la empresa y sus pacientes en la 'dark web'

El centro médico privado Palafox de Zaragoza, especializado en reconocimientos médicos y disciplinas como la odontología, ha sufrido un hackeo en los últimos días que ha pasado a mayores. Según la información comprobada y corroborada por EL PERIÓDICO DE ARAGÓN, el grupo criminal Dragonforce ha sustraído información sensible tanto de la empresa, que tiene su sede en El Caracol, como de sus pacientes, y ya la habría puesto a disposición de terceros en la dark web (la internet oscura), algo de lo que algunas organizaciones cibercriminales de este estilo han presumido incluso en redes sociales.

En total, se habrían publicado 98 gigabytes (GB) de información. Entre los datos publicados se incluirían desde listados de clientes (con su DNI), informes médicos y documentación multimedia de intervenciones (por ejemplo, de carácter odontológico) hasta las facturas pagadas por los pacientes e información interna del centro Palafox: nóminas, documentación laboral, cuestiones de carácter legal y financiero...

Habitualmente, el modus operandi de este tipo de cibercriminales comienza con la sustracción de toda esta información para después extorsionar a la víctima, aunque desde la entidad sanitaria, al ser contactada por este diario, han declinado hacer ningún tipo de declaración. Por tanto, no ha trascendido públicamente qué cantidad económica se les exigió durante el chantaje o si ha habido alguna negociación previa a la publicación de los datos por parte de Dragonforce.

Consultado por este periódico, Vicente Delgado, uno de los mayores especialistas en cibercriminalidad en España, explica que en incidentes atribuidos a grupos de estas características el acceso inicial a los sistemas suele producirse mediante credenciales robadas, campañas de phishing dirigidas o la explotación de servicios expuestos a internet.

Cibercriminales profesionales

Según Delgado, Dragonforce es un grupo que opera bajo un modelo conocido como Ransomware as a Service (RaaS). Este sistema funciona gracias a un "núcleo central" que es quien proporciona el malware (el programa que permite robar y secuestrar los datos del objetivo) y la infraestructura técnica, para que después afiliados externos ejecuten el ataque. Según el experto, se trata de un modelo que "se ha extendido en los últimos años y que permite una mayor proliferación de este tipo de campañas".

Una vez que los criminales han extraído grandes volúmenes de información, por lo general suelen amenazar con su publicación como forma de presión al afectado. De hecho, Dragonforce habitúa a publicar datos reales y no se suele limitar únicamente al chantaje, siendo por ello considerado como uno de los grupos más dañinos.

En cuanto a sus víctimas, normalmente se centra en empresas privadas u organizaciones que manejan datos sensibles, conocedores de que su publicación puede suponer un impacto elevado tanto a nivel reputacional como legal. "Ellos ponen especial interés en sectores donde la información filtrada tiene alto valor, genera presión legal y donde pueden producir un daño reputacional inmediato", analiza Delgado, experto en Ciberfraude en Instituciones y Banca de España.

En el mundo operan actualmente decenas de grupos criminales dedicados a estas actividades (Qilin, Akira, etc.) y están surgiendo otros nuevos de forma continua. Tanto es así que ya están apareciendo cibercriminales que utilizan la IA para mejorar sus resultados de intrusión en sistemas.

Obligación de informar

Ahora, la pregunta que suele aparecer en estos casos es cómo actuar ante una amenaza así. En el caso de la empresa, la obligación legal pasa por comunicar lo antes posible (a partir de 72 horas es sancionable) la situación, es decir, la "brecha de seguridad", tanto a los clientes que se hayan visto afectados como, especialmente, a la Agencia Española de Protección de Datos (AEPD), que es quien se encarga de abrir diligencias para detectar lo sucedido y las responsabilidades que podría tener la propia víctima.

Al manejar datos de tal sensibilidad, su obligación legal es tener actualizados sus sistemas antivirus o tener una copia de seguridad para garantizar la confidencialidad de los pacientes, entre otras cosas. Con todo, hay ocasiones en las que al estar detrás este tipo de grupos, con infraestructuras tan potentes como la de Dragonforce, es cuasi inevitable evitar el robo de la información.

Suscríbete para seguir leyendo