Un ataque informático roba datos personales de 50.000 profesionales del SAS en Granada

Granada/Granada ha vuelto a ser objetivo de hackers. Después del ataque informático que se produjo el pasado mes de octubre, en el marco de la celebración en la ciudad de la Cumbre Europea, ahora un grupo de ciberdelincuentes, del que todavía se desconoce identidad, ha atacado las páginas web de los hospitales Clínico San Cecilio y Virgen de las Nieves de la capital, el Santa Ana de Motril, así como a las del Área de Gestión Sanitaria Sur de Granada y Distrito Sanitario Granada-Metropolitano, afectando a aproximadamente 50.000 profesionales del Servicio Andaluz de Salud (SAS) en la provincia, aunque no todos ellos se encuentran en activo.

El ataque ha supuesto la filtración de datos como nombre y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas de muchos de los profesionales sanitarios que trabajan tanto en los hospitales como en los centros de salud de estas áreas de gestión granadinas.

Según ha informado este lunes la Consejería de Salud de la Junta de Andalucía, ante este hecho, se ha procedido a aislar los servidores y las webs afectadas, dejándolas en mantenimiento, así como otros servicios online provinciales, para evitar mayores problemas. Estos permanecerán inactivos hasta que no finalicen las tareas de investigación. El "incidente de seguridad" se detectó el pasado 9 de julio, y desde entonces se trabaja para tratar de devolver a la normalidad los sistemas que han sido superados por los hackers.

El SAS ha asegurado que desde el primer momento "se cuenta tanto con los medios humanos necesarios como con las herramientas para la detección y respuesta ante este tipo de incidentes", y ha confirmado que, mientras no se disponga de toda la información, se ha comunicado el incidente vía correo electrónico con los profesionales afectados, y recomienda prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correo electrónico, terminales móviles u otros medios, para evitar eventuales suplantaciones de identidad.

El distrito sanitario también ha confirmado que el incidente no ha impactado a infraestructuras críticas, es decir, no implica impacto en servicios asistenciales ni en datos de pacientes o de carácter bancario. Fuentes conocedoras de la investigación abierta han apuntado a que se han denunciado los hechos, si bien no constan otras denuncias a nivel particular de profesionales que hayan sido posibles víctimas de suplantación.

Los datos que han podido ser sustraídos se remontan, según la información obtenia, hasta a siete u ocho años atrás, por lo que se pide especial cuidado ante las comunicaciones que puedan llegar a los profesionales no solo por correo electrónico, sino también a través de móvil o correo postal.

Los hechos salieron a la luz cuando un atacante mandó un correo al webmaster de la web del Hospital Universitario Clínico San Cecilio y a otros destinatarios, indicando que había detectado una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico. El atacante pidió 2.500 dólares en bitcoin en 48 horas para no publicar los datos, que no se pagaron tal y como estipula la normativa, una petición de rescate que se puso en conocimiento de las autoridades competentes, también en el ámbito estatal.

Trabajos para la vuelta a la normalidad

Desde que se detectó el ataque, hace algo menos de un mes, el Servicio Andaluz de Salud (SAS), a través de la Subdirección de Tecnologías de la Información y la Comunicación (STIC), junto con el servicio provincial de Granada, está actuando con máxima coordinación, tanto a nivel interno como externo, creando comisiones y comités de trabajo, con el objetivo de implementar las acciones necesarias para restablecer los servicios y llevar a cabo el proceso de restauración y protección de los datos.

Tras detectar el ataque, "el SAS inmediatamente comenzó a gestionarlo con los organismos reguladores, así como con Fuerzas y Cuerpos de Seguridad del Estado", han asegurado desde la Consejería de Salud.

El SAS ha procedido a la actualización de servidores, y a cambiar contraseñas y restringir el acceso a bases de datos.

Colaboración con Andalucia CERT

Por su parte, el responsable de Seguridad de Tecnologías de la Información y Comunicación del SAS, Manuel Jimber, ha detallado, en un audio remitido a los medios de comunicación, que, en un primer análisis forense es en el que se ha verificado que "no ha habido filtración de datos de pacientes", si bien se han iniciado otros "más exhaustivos" con la colaboración de Andalucía CERT, el equipo de profesionales que tiene la Junta dedicado a prevenir, detectar y responder eficazmente a los incidentes de seguridad que puedan materializarse sobre los sistemas informáticos, para verificarlo.

Entre los organismos a los que se ha puesto en conocimiento de los hechos está el Consejo de Transparencia y Protección de Datos de Andalucía, ha precisado este portavoz, que ha indicado que los portales estarán activos cuando el SAS tenga la "garantía de que sean desplegados las medidas de seguridad necesarias".

Los profesionales deben de tener en cuenta especialmente "posibles comunicaciones o requerimientos de datos a través de correos, 'phishing' o mensajes SMS que les puedan llegar a su correo electrónico", ha agregado Jimber.