Los ataques de ransomware en hospitales son una amenaza que no puede obviarse. Las variantes más agresivas incluso pueden encriptar respaldos en la nube. Para lograrlo, aprovechan las conexiones establecidas durante las sincronizaciones en tiempo real de algunos sistemas.
Una muestra de los peligros del ransomware en hospitales es la reciente oleada de infecciones con el malware Ryuk, creado en 2018. De acuerdo con reportes de la agencia Reuters, en días pasados afectó al menos a dos docenas de nosocomios y proveedores de servicios médicos en California, Nueva York y Oregón. Este ataque fue precedido por otro en septiembre pasado. El objetivo en esa ocasión fue Universal Health Services, uno de los principales proveedores de servicios de salud en Estados Unidos, con 250 hospitales y clínicas en ese país.
La amenaza más reciente tomó tales proporciones que el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS) dieron la voz de alerta de manera generalizada, inclusive a través de redes sociales. De acuerdo con el HHS, los atacantes podrían ser parte de un grupo de hackers rusos denominado UNC1878, conocido por emplear Ryuk para sus extorsiones. Se teme que pretenden atacar a cientos de hospitales, tal vez 400, según reveló el portal especializado en ciberseguridad KrebsOnSecurity.
Esta variedad de ransomware encripta los archivos almacenados con los algoritmos de cifrado RSA-4096 y AES-256, en los hechos irrompibles. Para recuperar los archivos se requieren varias claves que, en teoría, suministrarán los hackers una vez hecho el pago, por supuesto, en bitcoins. El monto varía de una víctima a otra, pero aumenta a razón de medio bitcoin por día de retraso en la liquidación del rescate.
Cifrado inviolable
A diferencia de otros malwares, este no cambia los nombres de los archivos cifrados. En cambio, crea copias de un archivo de texto llamado “RyukReadMe.txt”, que coloca en las carpetas donde residen los archivos infectados. El texto incluye instrucciones específicas y direcciones de correo electrónico para contactar a los piratas una vez hecho el pago. Además, incluye la advertencia de que las claves de desencriptación serán borradas tras un lapso de dos semanas.
La única manera de librarse de Ryuk sin pagar el rescate consiste en recuperar la información a partir de copias de restauración, si es que éstas existen y están a salvo.
Los ataques de ransomware en hospitales son particularmente preocupantes debido a que muchos de sus equipos en línea más antiguos no tienen características de seguridad incorporadas en su hardware. Por ello, las incursiones de los hackers son cosa recurrente. De hecho, desde hace meses se preveía que aumentaran los ataques de ransomware en hospitales y universidades, entre otras instituciones. Este tipo de actos criminales han causado serios problemas en el pasado. Uno de los más sonados fue el orquestado en 2017 por el malware WannaCry, que paralizó virtualmente el Sistema Nacional de Salud del Reino Unido durante varios días.
Ransomware en hospitales para ataques sofisticados
De acuerdo con el Centro para la Seguridad de Internet (CIS), la manera más común en que se propaga el ransomware es a través de acciones directas de los usuarios, como abrir ligas en mensajes de phishing enviados por correo electrónico o visitar sitios web infectados o maliciosos.
Los scripts más sofisticados toman ventaja de las fallas de seguridad en los propios navegadores u otras aplicaciones conectadas a la Internet y pueden instalarse en los dispositivos sin que sea necesaria ninguna interacción con el usuario.
La firma de ciberseguridad SonicWall detectó un importante incremento de ataques acumulados de Ryuk alrededor del mundo. Hasta el tercer trimestre de 2019 se habían registrado 5,123 ataques. Sin embargo, para el tercer trimestre de 2020 ya sumaban 67.3 millones, un 33.7% de todos los ataques de ransomware a escala global.
Lo más grave es que una infección con Ryuk suele ir antecedida por otras piezas de malware: los troyanos Emotet y TrickBot. En sus orígenes, éstos estaban diseñados para robar datos bancarios y financieros, aunque ahora resultan más peligrosos, pues son capaces de vulnerar los sistemas para instalar otros programas más agresivos, como Ryuk.
Entrenar para ciberseguridad
Hay varias maneras de reforzar la ciberseguridad y prevenir los ataques de ransomware en hospitales. Además de actualizar los equipos hasta donde sea posible, conviene mantener actualizados tanto el hardware como el software de seguridad (firewall, antivirus, herramientas de monitoreo).
También se puede echar mano de otros recursos. Las pruebas de penetración, por ejemplo, son útiles para detectar vulnerabilidades antes de que se conviertan en problemas.
Sin embargo, el aspecto tal vez más importante de la seguridad cibernética consiste en brindar al personal un entrenamiento adecuado. Lo mejor es establecer un programa regular, bien diseñado para no agobiar a los trabajadores y promover su involucramiento real.