Ciberataques a hospitales, ¿reales?
Por un lado, se supo que un hospital de Estados Unidos pagó un rescate a los ciberdelincuentes para descifrar los sistemas cifrados. Por otro lado, la prensa se hizo eco de que los hospitales alemanes también habían sido víctimas de ciberataques y habían tenido que cerrar sus operaciones.
Además, un nuevo troyano de cifrado llamado "Locky" lleva tiempo haciendo estragos e infectando sistemas con gran éxito. Si lo mezclamos todo, el resultado son titulares escabrosos al estilo "Ciberdelincuentes atacan hospitales alemanes".
Y en la percepción pública, los hospitales han sido víctimas de ataques selectivos, contra los que uno no puede defenderse, como es bien sabido. Hablar aquí de "ataques" es, como mínimo, "negligentemente inexacto".
Los afectados simplemente han sido víctimas de troyanos de cifrado "normales", ya que existen en grandes cantidades desde hace años. No fueron infiltrados especialmente en estos hospitales ni desarrollados para este fin. Los hospitales sólo tuvieron la desgracia de que uno de estos troyanos se ejecutara en sus sistemas internos.
Y a diferencia de los particulares, no eran fotos privadas o similares lo que se encriptó, sino datos mucho más sensibles. Pero: ¡no se trataba de ataques selectivos ni de algo fundamentalmente nuevo!
Para decirlo sin rodeos, la probabilidad está mostrando su cara malvada: después de que en el pasado tuvieran que sufrirla sobre todo los usuarios privados, ahora les ha tocado a los hospitales.
En rigor, es sorprendente que no haya ocurrido mucho más antes. También he leído sobre "ataques como los vistos antes en otras industrias" y "ciberarmas desconocidas".
Aquí hay una discrepancia entre la verdad y la percepción: los troyanos de cifrado llevan mucho tiempo acosando a los informáticos. Un buen indicador de que este modelo de negocio funciona para los delincuentes... y, por desgracia, seguirá haciéndolo durante mucho tiempo.
Por supuesto, no existe una protección al cien por cien contra estos troyanos. Por supuesto, se puede reducir la probabilidad con soluciones de seguridad en el gateway, en la red y en el endpoint.
Sin embargo, hay que ser consciente de que aún así hay que esperar una infestación. Incluso el uso de sistemas de detección de brechas, incluido el sandboxing, sólo puede influir en la probabilidad y (a posteriori) proporcionar datos forenses evaluables.
Pero es sólo una cuestión de "cuándo", no de "si" algo conseguirá pasar. Un ciberdelincuente puede crear miles de variantes con poco esfuerzo y optimizarlas hasta que las soluciones de seguridad actuales sean incapaces de encontrarlas.
Bajo la premisa de que puede haber una infestación, hay que planificar por tanto las medidas de seguridad adecuadas. Esto incluye buenas prácticas sencillas como la segmentación de la red y las funciones de seguridad, así como una mundana "copia de seguridad y restauración".
Esto significa que, aunque algo se cuele, quizá sólo unos pocos ordenadores del segmento se vean afectados y puedan "limpiarse" de nuevo mediante una restauración. En el funcionamiento de los entornos informáticos comerciales, todo esto se corresponde con las recomendaciones y la experiencia de funcionamiento de muchos años.
Resulta aún más sorprendente que aquí no sólo se vieran afectadas áreas concretas (por ejemplo, la administración), sino que casas enteras estuvieran "fuera de línea", a veces durante días. Para ser explícito: en mi opinión, no se trataba de "ataques".
Hablar de atentado en este caso desvía la atención hacia el presunto atacante y aleja la cuestión de los problemas operativos -quizás no del todo involuntariamente...
El efecto en el público en general, sin embargo, es por desgracia una especie de estado de ánimo de pánico que no es apropiado en esta forma. Se trataba simplemente de un troyano normal, como los que circulan miles de veces al día.
Por el contrario, cuando otras infraestructuras críticas son víctimas de verdaderos ataques selectivos, todo se descarta como un alarmismo más con la respuesta "la última vez no fue tan grave". Y eso no nos lo podemos permitir.