La dependencia de los recursos tecnológicos en la vida cotidiana, los negocios y en procesos de misión crítica demanda, cada vez, con mayor frecuencia, ejercicios de contingencia que no pudieron ser previstos. Durante los primeros días de junio, los principales hospitales de Londres declararon el estado de emergencia luego de que un ciberataque provocara la cancelación de cirugías y el desvío de los pacientes de urgencia a otros nosocomios. Los afectados fueron el King’s College Hospital, Guy’s y St Thomas’ -incluidos el Royal Brompton y el Evelina London Children’s Hospital- y los servicios de atención primaria.
El incidente ha tenido un gran impacto en la prestación de servicios, especialmente en las transfusiones de sangre y los resultados análisis clínicos.
El grupo
Qilin lanzó un ataque de ransomware contra un proveedor de análisis de sangre a varios hospitales en Londres. Los servicios de patología son parte integral de una amplia gama de tratamientos, involucrando a unos 100.000 análisis diariamente afectando, probablemente, a unos 2 millones de personas. Los inescrupulosos delincuentes no se detienen a medir el impacto sobre la población ni tienen conciencia sobre las consecuencias.
Las infraestructuras digitales son una combinación compleja de muchos sistemas diferentes que “hablan” entre sí y con proveedores de servicios externos, provocando que una falla sustancial, un error de configuración o una vulnerabilidad, sean aprovechados por ciberdelincuentes teniendo un impacto en cascada significativo y sustancial.
Pero la peor consecuencia sobre este caso testigo es la necesidad que disparó el ciberincidente: se necesitan donantes de sangre tipo O, un llamamiento para que los donantes de sangre tipo O reserven turnos en todo el país tras el ataque de ransomware. El Servicio Nacional de Salud (NHS) hizo un llamamiento a los donantes de tipo sanguíneo O para que reserven turnos para donar, ya que esto será más seguro para todos los pacientes.
Los hospitales afectados por el ciberataque no pudieron evaluar el tipo de sangre de los pacientes con la misma frecuencia habitual como consecuencia del ciberataque. Además de las cancelaciones de operaciones cardíacas, cirugías de cáncer y trasplantes de órganos; derivaciones de pacientes, por no disponer de sus sistemas, secuestrados por el Ransom, no fue posible realizar transfusiones de sangre.
La banda de ciberdelincuentes denominada Qilin es un grupo ruso que opera en la Dark Web y se mueve libremente desde dentro de Rusia. Tiene como objetivos a industrias y empresas automotrices, buscando dinero; pero el gobierno británico tiene una férrea política de no pagar rescates.
Qilin ha estado activo desde octubre de 2022, cuando lanzó su primera ola de ataques contra empresas en Francia, Australia y otros países. Opera con un enfoque de “ransomware como servicio”, y promueve sus servicios a cambio de participar en aproximadamente entre el 15 y 20%. La cantidad de víctimas ya ha superado la centena, y la demanda de rescate típica de Qilin oscila entre u$s 50.000 y 800.000. Utiliza técnicas de phishing y, eventualmente, mensajes dirigidos a empleados para convencerlos de que compartan usuario y password, o instalen malware a cambio de dinero.
Los ataques de ransomware implican robar una gran cantidad de datos e intentan obtener un pago para no divulgarlos y, al mismo tiempo, provocar la paralización de los sistemas, sus datos y la infraestructura, con el propósito de forzar una negociación y lucrar con ello. La amenaza de ransomware tiene cada vez mayor capacidad y potencia, se diversifica y apunta no solo a la industria de banca, energía, petróleo y gobierno, las universidades y escuelas. Claramente, la industria de salud y los hospitales son un blanco ahora.