Els ciberatacants del Clínic reclamen 4,5 milions de dòlars i diuen que han robat 4 TB de dades

Els autors del ciberatac a l'Hospital Clínic de diumenge passat, l'empresa dedicada al cibercrim Ransom House, han demanat 4,5 milions de dòlars (4,2 milions d'euros) per alliberar i no publicar les dades segrestades, segons ha explicat aquest divendres Sergi Marcén, secretari de Telecomunicacions i Transformació Digital de la Generalitat, en una compareixença pública. Marcén ha assegurat que no es pagarà cap rescat.

Sergi Marcén ha afegit que els ciberdelinqüents han agafat fins a 4,4 terabytes d'informació, però que "no han estat compromeses ni la base de dades estructurals del Departament de Salut ni la història clínica compartida dels pacients".

En la compareixença també hi han intervingut el director mèdic de l'Hospital Clínic, Antoni Castells; el director de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy, i el cap d'investigació criminal dels Mossos, Ramón Chacón.

Tomàs Roy ha avisat la ciutadania que, si rep cap trucada o un missatge demanant dades personals, no les doni, perquè la comunicació no vindrà del Departament de Salut. També, que es desconfiï de qualsevol missatge que demani diners o enllaços on clicar.

Recuperació progressiva del servei, tot i "treballar en paper"

El director mèdic de l'Hospital Clínic, Antoni Castells, ha començat la seva intervenció agraint tota l'ajuda externa rebuda des de diumenge, quan van quedar "totalment incomunicats amb l'exterior", i la feina de tots els professionals que, a mà, han pogut recuperar gairebé tota l'activitat.

Un agraïment que ha fet extensiu a tot el sistema de salut i als hospitals de la ciutat, que els han donat suport amb tots els pacients més complexos.

Castells ha explicat que ja han recuperat gairebé tota l'activitat quirúrgica complexa.

"En quatre dies hem recuperat el 90% de l'activitat quirúrgica complexa, el 40% de la menys complexa i el 70% de l'activitat de consultes externes. Hem recuperat el codi ictus i el codi infart. I tot això en un hospital de gran complexitat que dona atenció a més d'un milió d'habitants."

Antoni Castells ha afegit que s'ha pogut treballar "amb una certa normalitat, malgrat fer-ho en paper", i que s'han mantingut en tot moment les urgències a les tres seus --Villarroel, Plató i Maternitat--, així com el Codi 3 d'atenció a les víctimes d'agressions sexuals, les hospitalitzacions i el servei a domicili.

El director de l'Hospital Clínic ha explicat que "laboratori i farmàcia han estat els que més han patit", i que hi ha personal administratiu "que han fet més quilòmetres que mai" aquests dies, perquè han hagut de portar tota la documentació a mà al laboratori i a la farmàcia.

Si res es torça, la previsió és que aquest divendres es puguin recuperar les contrasenyes d'accés de tots els professionals de la casa i que entre dilluns i dimarts es recuperi "l'accés universal a les dades estructurals" i es pugui treballar amb normalitat. 

Castells també ha demanat disculpes a la ciutadania per l'activitat que s'ha vist ressentida per aquest atac.

En una setmana s'han deixat de fer "més de 4.000 analítiques ambulatòries, més de 300 intervencions i més 11.000 visites o consultes externes".

Encara no s'ha recuperat la radioteràpia, però els pacients prioritaris d'oncologia s'estan derivant als hospitals de Sant Pau i Vall d'Hebron.

Aquesta setmana, 25 malalts han hagut de continuar la radioteràpia a l'Hospital de Sant Pau i 10 més l'han hagut de començar entre Sant Pau i la Vall d'Hebron. El Clínic confia poder reprendre el servei dilluns.

L'arbre del directori principal, "la prova de vida"

El secretari de Telecomunicacions i Transformació Digital de la Generalitat, Sergi Marcén, ha explicat que ja s'han pogut aixecar el 15% dels sistemes digitals de l'hospital, cosa que demostra, ha dit, la professionalitat dels treballadors, que estan donant gairebé tots els serveis sense sistema digital de suport.

La raó d'aquesta lentitud, ha explicat, és que "cada servidor que es va aixecant és revisat per l'Agència de Ciberseguretat", per comprovar que és segur.

Els ciberdelinqüents han enviat com "prova de vida l'arbre del directori principal" i han agafat fins a 4 terabytes de dades filtrades, que el govern encara no sap quines són. Tot i això, Marcén ha confirmat que no es pagarà cap rescat per aquestes dades.

"No hi ha cap tipus de negociació ni es pagarà ni un cèntim."

Alerta a la ciutadania per possibles estafes

Tomàs Roy, director de l'Agència de Ciberseguretat de Catalunya, ha explicat que estan treballant per "evitar que es generin nous incidents", com podrien ser intents d'estafa a la ciutadania aprofitant les dades personals robades.

"L'hospital no ha perdut cap dada, les dades hi són. No rebreu cap comunicació demanant-vos dades. Si algú us truca, és fals. Cal preparar-se, com a ciutadania, per rebre SMS amb atacs. Hem de desconfiar de missatges que demanin diners."

L'exemple que ha posat Tomàs Roy és que, si es rep un missatge per SMS que digui: "Mare, pare, soc en Jan, he perdut el mòbil, envia'm diners per passar el dia", se'n desconfiï, perquè es tractarà d'un atac que es pot desmuntar trucant directament al fill.

"Cal desconfiar de tots els missatges que demanin diners o credencials i no clicar en enllaços que ens arribin per SMS o per correu, si no és que tenim la certesa que l'origen està identificat. La millor manera de gestionar els futurs incidents és prevenir-los."

L'únic objectiu dels delinqüents: el lucre

El cap d'investigació criminal dels Mossos, Ramón Chacón, ha explicat que els cibercriminals només busquen el lucre i que, per tant, s'ha descartat qualsevol altre motivació.

"L'objectiu d'aquest grup de hackers és el lucre, volen un benefici. Descartem altres tipologies delictives, només busquen els diners, que no aconseguiran."

També ha detallat el modus operandi dels hackers de Ransom House, que consisteix en "una doble extorsió". Primer posen un codi maliciós en la maquinària que bloqueja el sistema i demanen diners per alliberar-lo i que puguis treballar. Si no se'n surten, com és el cas, posen en marxa la segona extorsió, que és amenaçar de publicar o vendre a tercers les dades robades.

"No s'ha de pagar mai, perquè la capacitat econòmica a la qual s'està dotant aquests hackers perquè facin més atacs i més sofisticats és molt elevada. L'única manera de parar-los és que no pagui ningú."

Les prioritats en l'actuació tant de l'hospital com de l'Agència de Ciberseguretat i dels Mossos és, primer, restablir el sistema, i després, evitar que les dades es filtrin.

D'entrada, els Mossos intenten trobar-les i bloquejar-les perquè els cibercriminals no les puguin publicar ni vendre, "un objectiu complicat", segons ha reconegut Chacón. Si ho aconsegueixen, llavors intentaran retirar-les de seguida. Chacón ha reconegut que la probabilitat que publiquin les dades "és elevada".

"Estem fent un ciberpatrullatge a la xarxa, estem a internet i a la darknet patrullant. En el moment que es produeixi la filtració d'informació intentarem eliminar-la del sistema ràpidament perquè no corri per la xarxa."

I també intenten trobar els hackers per poder-los detenir, un objectiu també "molt complicat", reconeix Chacón, perquè poden estar "a l'altra punta del món i salten de país en país".

Els Mossos alerten que les dades segrestades es podrien filtrar en qualsevol moment i no descarten que hi pugui haver atacs similiars a d'altres hospitals.

Les cirurgies, recuperades dijous

Aquest dijous, el Clínic havia recuperat el 100% de les cirurgies programades a la seu de Villarroel i alguns codis urgents, com el codi ictus i el d'hemorràgia subaracnoidal, que encara no funciona amb normalitat cinc dies després del ciberatac.

Les visites externes estan al 50% i l'oftalmologia al 75%, i els pacients que ja poden visitar-se reben una trucada per confirmar-ho. Els que s'han de reprogramar rebran l'avís més endavant.

El centre d'extraccions funciona al 20% i es prioritza l'atenció als pacients amb necessitat de continuïtat, cirurgia i proves invasives.

A les seus dels edificis Plató i Maternitat es fa cirurgia ambulatòria de baixa complexitat dermatològica, urològica i oftalmològica, i es fa seguiment de les dones embarassades.

Pel que fa a la resta d'activitat, es manté:

· L'activitat urgent i hospitalització convencional i de crítics a les tres seus

· L'hospitalització domiciliària i els hospitals de dia

· Les exploracions radiològiques i proves endoscòpiques

· La diàlisi i rehabilitació ambulatòria

· La farmàcia ambulatòria

L'afèresi, el programa de cribratge de càncer de còlon i el Servei d'Atenció al Viatger Internacional (SAVI) funcionen amb normalitat.