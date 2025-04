El Hospital Clínic de Barcelona sufrió un ataque en la primavera del año 2023 por parte del grupo de ciberdelincuentes RamsonHouse. Los afectados fueron los ... sistemas de información y las comunicaciones del centro hospitalario: los médicos no podían acceder, por ejemplo, a los historiales de sus pacientes o a resultados de las pruebas diagnósticas, por lo que tuvieron que tomar decisiones tales como derivar a otros hospitales a los enfermos más críticos, retrasar intervenciones quirúrgicas o volver temporalmente al papel y al boli porque las incidencias en algunos casos duraron semanas... Pero, como aclara Alejandro Nieto, actual responsable de seguridad de la información del Clínic, si bien el día a día se vio alterado, la salud de los pacientes no estuvo en peligro en ningún momento, en primera instancia porque los robots que asisten a los profesionales en las operaciones son autónomos y autosuficientes y en segundo lugar porque el propio personal médico mostró capacidad de maniobra suficiente en la gestión de la situación.

Pero Nieto, que interviene este jueves en el Congreso de Ciberseguridad que se celebra esta semana en Málaga para contar los entresijos del incidente del Clínic, advierte que los hospitales son un objetivo principal de los ciberdelincuentes: «El dato médico se paga muy bien en el mercado negro». No hay cortapisas morales ni éticas que los frenen: «Están muy profesionalizados y les da igual que sea un hospital o un banco, quieren dinero», afirma. Y apunta además que el sistema sanitario, sobre todo el público, presenta una mayor vulnerabilidad: no tiene tantos mecanismos de defensa como otros sectores. Señala que un hospital, el sistema sanitario en su conjunto, prioriza la atención al paciente, y cuesta derivar recursos a la lucha y la prevención de la ciberdelincuencia. No hay partidas presupuestarias a este fin. Aunque precisa que en realidad, más que dinero, que también, lo que hace falta es cambiar la cultura, los procesos, los métodos de trabajo y los protocolos de seguridad, porque revela que la brecha por la que entraron los malos en los sistemas del Clínic fue la que él denomina como «vector más débil»: el usuario; en este caso, un profesional, un trabajador del hospital al que le lograron robar las credenciales.

La doble extorsión hasta la publicación de los datos

A partir de ahí, continúa su relato Nieto, los ciberterroristas emprendieron una doble extorsión. Por una parte, robaron los datos de los pacientes y los encriptaron. Entonces dijeron al personal del hospital que si pagaban «un rescate» desencriptaban la información para así poderla recuperar. Pero los profesionales del centro tenían copias de seguridad, así que el secuestro de los datos en realidad no les suponía un gran problema. Así que comenzó la segunda amenaza: la publicación de la información de los pacientes. Como el hospital no pasó por caja (la legislación prohíbe pagar rescates de ningún tipo), RansomHouse la terminó sacando a la luz. ¿De cuántos pacientes? Se desconoce y probablemente nunca se sepa. Alejandro Nieto dice que cuando se produce un ataque de estas características, el volumen de información que sale a la luz es incontrolable.

«El Clínic es en realidad reflejo del sistema sanitario en su conjunto y también del conjunto de la sociedad. No se da valor a la seguridad, aunque tras el incidente que sufrimos sí ha cambiado algo la conciencia sobre la cuestión», explica Alejandro Nieto, que insiste en que si hay que hacer frente a la criminalidad de la vida real, la convencional, también hay que atender a la nueva, la ligada a las nuevas tecnologías.

El Hospital Clínic de Barcelona fue informando puntualmente sobre cómo iba viéndose afectado por el ataque cibernético. Y a día de hoy aún tienen colgados en su página web los comunicados que se iban publicando. ¿La transparencia no es una debilidad ante los malos, no es un acto también de propaganda de la actividad de ese grupo de ciberdelincuencia? «Informamos porque no teníamos nada que ocultar», responde Alejandro Nieto.

Dos años después del ataque nadie ha rendido cuentas ni ha pagado por aquello, por la publicación de datos privados, de información tan sensible como la médica. Se sabe que el grupo responsable fue RansomHouse, pero porque fue el que reivindicó el ataque, pero no hay nombres y apellidos de personas concretas: «Es una carencia de la lucha contra la ciberdelincuencia: ¿Cómo consigues que el que la ha hecho la pague?», concluye Nieto.