Un atac informàtic exposa a l'extorsió centenars de pacients de psicoteràpia a Finlàndia

Un nombre indeterminat d'històries clíniques d'una empresa propietària de diversos centres de salut mental a Finlàndia ha estat sotret per pirates informàtics. Són històries que contindrien dades personals i anotacions preses durant sessions de psicoteràpia. La sostracció ha afectat l'empresa Vastaamom, subcontractada pel sistema de Salut finlandès.

Vastaamom, que compta amb una vintena de sucursals i milers de pacients, ja ha anunciat que ha posat el ciberatac en coneixement de la policia. Uns 300 informes han estat publicats a la dark web o web fosc, un entorn digital que els cercadors no indexen i al qual només es pot accedir mitjançant unes determinades aplicacions.

Segons la companyia, les dades s'haurien obtingut il·legalment entre el novembre del 2018 i fins al març del 2019.

Al web de Vastaamom es refereixen a l'atac com "una gran crisi" i alguns dels informes corresponen a persones menors d'edat. Per pal·liar la situació, l'empresa finlandesa ha ofert un canal d'ajuda i una sessió de teràpia gratuïta, els detalls de la qual no s'enregistraran.

Situació d'excepció

El govern de Finlàndia va sostenir diumenge a la nit una trobada d'emergència. La ministra d'Interior, Maria Ohisalo, va titllar la situació "d'excepcional".

La BBC ha recollit el testimoni d'algunes persones que asseguren que els ha contactat un individu que els demana pagar un rescat per no publicar la informació sostreta. Unes xifres que hauran d'abonar amb la criptodivisa Bitcoin, una forma de pagament molt difícil de traçar.

Segons el jove citat per la cadena pública britànica, en el missatge rebut li exigien pagar 200 euros en Bitcoin, i, si passades 24 hores no ho feia, la xifra ascendiria a 500 euros. 72 hores després, les sessions es farien públiques.

A banda de la lesió evident pel dret a la privacitat que suposa la filtració, que les dades de les persones que han fet psicoteràpia es facin públiques pot implicar-los greus perjudicis, com la suplantació d'identitat.

Atac al Moisès Broggi

A principis de setembre, els centres del Consorci Sanitari Integral (CSI), d'entre els quals destaca l'Hospital Moisès Broggi de Sant Joan Despí, va patir un atac de ransomware, una forma de ciberextorsió per la qual l'atacant xifra un ordinador i demana un rescat a canvi de retornar l'accés a l'atacat.

En declaracions al 324.cat, el director de l'Agència de Ciberseguretat de Catalunya (ACC), Oriol Torruella, va assegurar que es tractaria d'un atac dirigit. Aleshores, Torruella va definir el Broggi com una "víctima qualificada" per la seva disposició més gran que altres víctimes a pagar per recuperar el seu sistema informàtic.

L'empresa Vastaamom també encaixaria en aquesta descripció per la sensibilitat de les dades sostretes.