Desde este espacio llevamos mucho tiempo alertando de las graves consecuencias que tienen los episodios de ransomware –‘secuestro’ de sistemas informáticos encriptándolos hasta que se pague rescate- en el sector sanitario, una actividad, además, que se ha intensificado con motivo de la pandemia de COVID-19. Sólo en EEUU, el año pasado fueron atacados con este método 764 entidades sanitarias. Pues bien, ya podemos lamentar la primera muerte por estas prácticas: ha sucedido en Alemania, en el Hospital Universitario de Duesseldorf que, víctima de ransomware, se vio obligado a desviar pacientes a un hospital cercano y uno de ellos falleció durante el traslado.

El pasado 10 de septiembre, este hospital sufrió un ataque de ransomware, afectando a su red y comprometiendo a más de 30 servidores internos, lo que en un hospital tiene efectos muy graves. De hecho, el propio centro admitía que el acceso a la información era muy limitado, lo que perjudicaba la atención sanitaria –incluso, las urgencias tuvieron que ser suspendidas-.

El paciente fallecido requería una atención urgente que no podía recibir en el hospital, por lo que se optó su traslado a otro centro sanitario, situado a unos 30 kilómetros, sin que pudiera sobrevivir al desplazamiento. Las autoridades sanitarias no han descartado investigar a los autores del ataque informático como participantes en un caso de homicidio negligente.

Estos autores, tras producirse la muerte, retiraron la demanda de rescate y procuraron el descifrado para que el hospital pueda reestablecer sus sistemas. Según se desprende de un mensaje dejado en uno de los servidores, el ataque ni siquiera tenía como objetivo el hospital, puesto que la nota de extorsión se dirigía a la Universidad Heinrich Heine, a la que está adscrito el centro sanitario.

Los hechos no han quedado aquí, dado que desde el Hospital Universitario de Duesseldorf se ha señalado la vulnerabilidad gracias a la cual supuestamente se habría cometido el delito. Al parecer, no iban mal encaminados, puesto que la Agencia Alemana de Ciberseguridad (BS) ya había emitido un día antes un aviso, advirtiendo a las organizaciones alemanas que, efectivamente, actualizaran sus puertas de enlace de Citrix para eliminar la vulnerabilidad CVE-2019-19871, conocida por ser explotada por las bandas de ransomware.

Esta brecha se detectó en diciembre del año pasado, y ya desde el mes de enero se han identificado numerosos ataques. Entonces, se estimó que la cantidad de servidores afectados podía alcanzar la cifra de 80.000. Tuvieron que transcurrir varios días hasta que Citrix publicó los parches de seguridad para su descarga e instalación; entretanto, la compañía recomendaba migrar los sistemas a otras versiones.

No contar con los sistemas debidamente actualizados continúa siendo la mayor puerta de entrada para los ciberdelincuentes. En el caso de los sistemas Citrix, esta vulnerabilidad permite penetrar en las redes corporativas e instalar el código malicioso. Algunas de las bandas identificadas por los expertos en seguridad que hacen uso de esta brecha son REvil o Maze. Su modus operandi consiste en escanear interner en busca de servidores Citrix que no hayan instalado el parche de seguridad para este exploit. Entre los dispositivos favoritos destacan Citrix Application Delivery Controller (ADC), Citrix Gateway y dos versiones anteriores de Citrix SD-WAN WANOP.

Dada la proliferación de este tipo de ataques, hace unos meses informábamos de cómo la comunidad internacional había firmado un manifiesto en contra de estos ataques al sector sanitario; entre los firmantes, personalidades como  Madeleine Albright, exsecretaria de Estado de EEUU; Ban Ki-moon, ex secretario general de la ONU; Vint Cerf, padre de internet; Mikhail Gorbachov, ex presidente de la Unión Soviética y Premio Nobel de la Paz.