El Hospital Clínic de Barcelona ha sufrido un ciberataque en marzo de 2023. Los efectos de un ataque así no se limitan a la pérdida de datos o la inutilización de dispositivos: las primeras consecuencias han sido tener que desprogramar 150 intervenciones no urgentes y anular entre 2.000 y 3.000 visitas a consultas externas y unas 500 analíticas. Como indican en el País, mientras el centro no pueda acceder a las historias clínicas de sus pacientes, no puede atenderlos.
Otro ejemplo es el ciberataque a la cervecera Estrella Damm de noviembre de 2021. En un caso así, de nuevo las consecuencias van “más allá de lo obvio”, explica el experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, Jorge Louzao. De hecho, como recoge este artículo en elDiario.es, la fábrica catalana paralizó “todas sus líneas de producción, que incluyen tres fábricas que producen 23 marcas de cerveza y cuatro de agua”. Es decir, fueron días en los que no solo no se podían usar los ordenadores, sino que directamente no se podía producir la cerveza.*
El impacto va más allá de los daños que puede producir a la empresa
Cuando una empresa o institución sufre un ataque, en un primer momento puede afectar “a la confidencialidad, a la integridad o a la disponibilidad de un activo”, pero finalmente se traduce también en “un impacto económico para la empresa o institución que sufre el incidente” y puede repercutir sobre la pérdida de productividad, pérdidas de clientes, de reputación e incluso de valor en bolsa”, nos explica la profesora de Ciberseguridad e investigadora en la Universidad Rey Juan Carlos Marta Beltrán. A esto, la experta añade el impacto que puede tener sobre las personas o el medio ambiente (por ejemplo, en el caso de que se produzca un incidente en una central nuclear).
Sin ir más lejos, el pasado 11 de octubre la Universidad Autónoma de Barcelona sufrió un ataque informático que afectó al sistema de virtualización que aloja a gran parte de los servicios corporativos”. Esto provocó la caída de la página web de la universidad, la cual tuvo que poner en marcha una provisional, y el ataque afectó tanto a la docencia, como a la investigación y a la administración.
El ataque implica tener que hacer un cribado para comprobar cuáles de los más de 10.000 ordenadores que tiene la universidad están infectados y, según explicaba el comisionado del rector para las TIC, Jordi Hernández, a El País, los efectos de este ataque se prolongarán hasta 2022. Imaginaos lo que supone para una universidad tener parte de sus sistemas afectados durante al menos tres meses, algo que notarán no solo los administrativos, sino los propios alumnos y profesores.
El ransomware WannaCry: un mismo ataque, diferentes dimensiones
En ocasiones, las consecuencias que puede generar un ciberataque pueden ser mayores que el daño causado por el propio ataque. Louzao recuerda el ransomware WannaCry, “un tipo de software malicioso que los cibercriminales utilizan a fin de extorsionar a un usuario para que pague”, y que se utilizó en 2017 contra grandes compañías, como explica en este artículo la empresa de antivirus Kaspersky. Este tipo de ciberataque busca acceder a los datos de la víctima, cifrar los datos de sus sistemas y servidores y pedir un rescate a cambio de volver a hacerlos legibles (un trato que no siempre se cumple).
Solo en España afectó a una decena de empresas, entre las que se encontraba Telefónica. En el Reino Unido fue víctima su Sistema Nacional de Salud (NHS, por sus siglas en inglés). En cambio, el impacto en cada una fue totalmente distinto.
En este país el ataque lo sufrieron un total de 80 hospitales de los 236 que pertenecen al NHS, según recoge un informe de la propia empresa. Esto repercutió directamente a los pacientes: durante el incidente, pacientes de cinco hospitales viajaron más lejos de lo normal para recibir tratamiento de emergencia y casi 7.000 primeras citas fueron canceladas y tuvieron que ser reorganizadas. Además, a causa del ciberataque, a 139 pacientes se le canceló una cita urgente por sospecha de un posible cáncer entre el 12 y el 18 de mayo de ese mismo año. A esto hay que añadir el retraso que se produjo en la comunicación de los resultados de diagnóstico.
“La intención de los creadores de este ataque era conseguir dinero secuestrando equipos informáticos y no debemos obviar que en los hospitales existen muchas máquinas de las que depende la vida de la gente, por ejemplo, las bombas de insulina. Un cambio en las dosis puede resultar mortal”, explica Jorge Louzao.
El ataque a Telefónica, el mayor de su historia, tuvo otras consecuencias. El Centro Criptológico Nacional (CCN) explicaba que se trató de un tipo de ransomware que afectó a “sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas)”. La reacción de la empresa tras conocer la noticia, según explicaron medios como El Confidencial, fue pedir a sus empleados que apagaran el ordenador, lo que se tradujo en un apagón corporativo.
En definitiva, hay ocasiones en las que podemos pensar que un ciberataque únicamente afecta a los ordenadores o al sistema informático de una compañía, cuando lo que suele ocurrir es que la producción o el servicio que ofrece queda paralizado al completo. La recuperación en ocasiones es lenta y mientras duran los efectos del ciberataque la empresa está atada de pies y manos.
¿Cómo se puede minimizar el impacto de un ciberataque?
“La manera de lidiar con estos impactos”, según Marta Beltrán, es “o bien mitigar el riesgo todo lo posible, mediante contramedidas y controles que ayuden a minimizar los incidentes, a detectarlos rápido si se producen y a saber responder, o bien transferirlos, por ejemplo, contratando una ciber póliza”.
Con la experta coincide Louzao: “tener una buena política de backups, es decir, de copia de seguridad de los archivos importantes, que minimice el impacto y quizás un buen seguro que cubra estos incidentes”, aunque señala que “ambas soluciones no son aplicables a todos los ataques”.
“No se puede hacer mucho más”, señala Beltrán. “En los casos ideales, evitar por completo el riesgo. Por ejemplo, para evitar el riesgo de que haya una brecha de datos en la que se fuguen datos médicos de los usuarios de una app, lo mejor es no tenerlos almacenados si no es estrictamente necesario”, añade.
Uno de los mayores problemas de este tipo de ataque es que muchas veces las empresas prefieren pagar a los extorsionadores para recuperar su actividad cuanto antes, en vez de seguir las pautas que da la Policía y organismos como el INCIBE: no hacer el pago para no beneficiar la dinámica de los ciberdelincuentes. En estos casos, puede que el incidente ni siquiera salga a la luz, ya que se solventa entre la empresa y los propios atacantes.
* Este artículo se ha actualizado para incluir el ciberataque al Hospital Clínic de Barcelona de marzo de 2023.
En este artículo ha colaborado con sus superpoderes el maldito y experto en ciberseguridad, Jorge Louzao.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.