Tres semanas KO por un ciberataque: así tienen secuestrados los sistemas de Adeslas

La compañía de salud, una de las más grandes de España, lleva desde el 11 de septiembre sin poder operar con normalidad debido a un potente ataque ‘ransomware’

Foto: Sede de SeguCaixa Adeslas. (Foto: Wikimedia)
Sede de SeguCaixa Adeslas. (Foto: Wikimedia)

La primera información llegó el pasado 11 de septiembre. La aseguradora Adeslas, una de las más grandes de su sector en España, anunciaba que había sufrido un grave ataque informático y que tenía problemas para seguir trabajando con normalidad. En ese primer momento no se dieron más detalles sobre el tipo de ataque ni el calado total del mismo, pero tres semanas después, el problema sigue sin resolverse y se empiezan a esclarecer algunos puntos. Como ha confirmado la empresa, son víctimas de uno de los temidos ‘ransomware’ que ya han afectado a muchísimas otras instituciones y ahora han metido en serios problemas a esta gran empresa.

Los estragos de este ataque, centrado en bloquear toda la estructura informática, se muestran claramente con un pequeño vistazo. Se ven en las webs de la empresa, y se dejan notar incluso en las redes sociales, donde su cuenta oficial responde cada día a quejas de todo tipo de pacientes. Tal es la situación que a día de hoy ni siquiera se puede acceder al área de cliente en la web, casi cualquier apartado de sus páginas viene acompañado de un mensaje en el que se avisa que ahora mismo no está todo el servicio disponible y la situación interna es de lo más delicada, como comentan a este periódico fuentes conocedoras de la situación. Tanto los hospitales asociados a la aseguradora como los trabajadores llevan semanas bajo mínimos u obligados a recuperar métodos de hace años.

Chantaje a Adif: cibercriminales amenazan con difundir 800GB de información sensible
C. OTTO
El grupo REVil asegura que, si la empresa pública no se atiene a sus condiciones (previsiblemente, un rescate económico), difundirá ‘online’ sus contratos y facturas, entre otros datos privados
“No se puede ni encender un ordenador. Está todo fatal, no puedes ver, ni hacer radiografías, no se puede ver a quién tienes [en agenda] y quién no, no se puede ver quién ha venido y qué les están haciendo, el historial [médico]”, explica una fuente conocedora de la situación y que convive a diario con estos problemas. Los problemas para acceder a los sistemas tanto internos como externos están limitando al máximo la labor y ha obligado a volver a métodos analógicos. “Se puede cobrar, pero no puedes meter en el ordenador que has cobrado al paciente ni nada, le tienen que dar una factura papel cuando siempre se ha hecho metiéndolo en el ordenador”.

Desde la compañía explican a este periódico que están centrando todos sus esfuerzos en recuperar la normalidad y mientras tanto usan todas las herramientas a su disposición para asegurar el servicio, pero el bloqueo de los sistemas informáticos está obligando a recuperar prácticas casi olvidadas. “En el sector bucodental hay muchas cosas que no se pueden hacer. Lo que están haciendo para los implantes, por ejemplo, son TAC, y para la endodoncia, donde hay que hacer radiografías sí o sí, porque tienes que ver hasta dónde ha llegado la lima, están haciendo con radiografías pequeñitas, periapicales, que son radiografías que haces tú y que las ves en el megatoscopio”.

Desde la empresa no indican hasta qué punto están afectados sus sistemas, pero el caos, según declaraciones de fuentes conocedoras de la situación y clínicas asociadas, es importante. Según estos centros, el ataque les supuso una molestia a nivel operativo porque tuvieron que cambiar trámites y procesos para hacerlos telefónicamente o con fórmulas alternativas que consideran un contratiempo: “estuvimos dando palos de ciego haciendo de intermediarios entre los pacientes y la aseguradora”.
Adeslas se ha disculpado con ellos por esta situación a través de un escrito, pero, su actuación ha ido a más. Uno de los mayores cambios a nivel operativo a los que se han enfrentado es el de las autorizaciones. Cada tipo de póliza cubre unos determinados gastos sanitarios y, cuando un médico decide el tratamiento de un paciente, se evalúa en el sistema informático si es compatible con el servicio que el paciente ha contratado. Debido al ataque no se puede realizar este trámite y la solución acordada es la de realizar una cobertura total sobre cualquier cliente al no poder tramitar estas autorizaciones, que hasta ahora eran imprescindibles.
Unos gastos que asume la empresa, pero, ¿hasta cuándo podrán seguir así? Algunas fuentes indican que en la compañía se habla de noviembre como fecha de posible vuelta a la normalidad, pero, como se sabe por casos anteriores, los ‘ransomware’ no son un enemigo fácil de batir. Si vamos a casos anteriores vemos que incluso tres semanas son poco tiempo.

El terror del ‘ransomware’

Como explica el especialista de ciberseguridad y fundador de la RootedCON, Román Ramírez, todo apunta a que lo ocurrido responde a un caso claro de un potente ‘ransomware’ que llevado por grupos con mucha experiencia y conocimiento, se ha colado hasta la cocina de la compañía y la ha secuestrado para cobrar un importante rescate a cambio de devolver la información. Un tipo de ciberataque que trae de cabeza a todo tipo de empresas e instituciones en los últimos años. Desde el ayuntamiento de Baltimore a hospitales como el de Torrejón de Ardoz, medios como la SER, cantantes como Lady Gaga empresas como Adeslas, Mapfre, Everis o Adif, todas ellas se han visto teniendo que lidiar con este tipo ataques.

“El mayor problema es que en su mayoría son mafias muy bien organizadas, preparadas y con las cosas muy claras. Eso hace que su trabajo sea complicadísimo de contrarrestar incluso por los mejores expertos en ciberseguridad. Una vez que están dentro y se hacen con el control de los sistemas, es muy complicado recuperar la situación. Incluso puedes tardar años en hacerlo y no está claro que surta efecto”, explica Ramírez.

El caso que pone como ejemplo es el del Ayuntamiento de Baltimore, que estuvo dos años y medio intentando luchar contra uno de estos ataques y al final lo resolvió de una forma un tanto extraña. “Dijeron que pagaron a una consultora 10 millones de dólares para esta labor, pero muchos piensan que solo funcionaron como intermediario de los delincuentes”, añade.

Este tipo de ataques, entran en los sistemas, normalmente, a través de un correo ‘phishing’ o un movimiento similar y se introducen en el sistema. Pasan desapercibidos un corto espacio de tiempo y en seguida se hacen con el rol de administrador del sistema. Cifran toda la información, e incluso las copias de seguridad, si no están bien guardadas, y piden un rescate para devolver todo. En ese momento empieza un tira y afloja entre delincuentes y compañías que, como confiesa Ramírez, suele acabar mal para los segundos. “O pagas o encuentras algún fallo en lo hecho por los delincuentes para conseguir descifrar la información o al menos conseguir sacarlos del sistema. Si no pasa nada de esto, date por perdido”.

Como recuerda el experto, todas las autoridades recomiendan no pagar estos rescates para que la rueda no siga girando (si pagas significa que es rentable por lo que lo seguirán haciendo), pero confiesa que a veces se llega a situaciones límite. “He visto casos de pequeñas PYMEs que o pagan o prácticamente tienen que cerrar la empresa, y pueden acabar cayendo. Es algo muy complicado”.
En este caso no se ha dado información sobre hasta qué punto llega el problema ni cómo lo están afrontando pero no parece que vaya a ser sencillo para Adeslas. “Habría que ver qué grupo lo ha hecho, qué tipo de seguridad tenía Adeslas antes del ataque, cómo guardaba sus copias de seguridad… Las defensas previas, y eso es algo fundamental que todos aprendamos, son lo más importante para que estos ataques te afecten lo mínimo posible. Si estabas preparado seguramente puedas rechazar el ataque sin muchos daños, pero como no lo estuvieras puede ser algo muy grave”. Y su chantaje puede ir a más.

¿Y los datos?

Ya sabemos que la compañía tiene secuestrado buena parte del sistema de Adeslas y está haciendo estragos en todo su trabajo, pero queda un punto clave, ¿qué pasa con los datos personales de pacientes, clientes o trabajadores? Según Ramírez, en estos casos todo depende de ‘la mafia’ o el grupo de ciberdelincuentes que hayan atacado tu empresa, pues son ellos los que deciden si difunden o venden esta información sensible o incluso amenazan con hacerlo para apretar en el chantaje. En este caso, de momento, no se ha hablado de datos comprometidos, pero otros expertos muestran ya dan la voz de alarma.

Según muestra a este periódico Brett Callow, experto en ciberseguridad de Emsisoft, alguien habría colgado en Happy Blog, una página de la ‘dark web’ solo accesible mediante la red Tor, un fichero que, según reza, serían datos de clientes de SegurCaixa Adeslas. Sin dar muchos más detalles, estaría pidiendo en una especie de subasta, más de un millón de dólares por esta información. Una práctica muy parecida a la que llevó a cabo el grupo que atacó Adif en julio y que también atacó a Grubman Shire Meiselas & Sacks, que representa a artistas como Lady Gaga, Madonna o Bruce Springsteen.

Su nombre es REvil y en su corto periodo de vida ya ha dado varios campanazos en este sector. Según Ramírez, esta iniciativa puede buscar tensionar más aún la situación de Adeslas y presionar para que paguen, pero también pueden buscar demostrar que tienen esa información e incluso compartirla en abierto, como hicieron con los datos sustraídos a Adif. Sea como fuere, lo que está claro es que la compañía de salud tiene un importante problema entre manos.

 

to en Fuente>

 

Información inicial al respecto en este blog>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies