Delinqüència informàtica

L’Hospital Clínic reconeix per primera vegada que el ciberatac podria «comprometre la confidencialitat de pacients i treballadors»

Tres setmanes després, el centre hospitalari de Barcelona continua sense tenir internet, amb l’atenció d’urgències afectada i sense determinar quines dades han quedat exposades

L’Hospital Clínic reconeix per primera vegada que el ciberatac podria «comprometre la confidencialitat de pacients i treballadors»

FRANCISCO AVIA

3
Es llegeix en minuts
Carles Planas Bou
Carles Planas Bou

Periodista

Especialista en tecnologia i el seu impacte sociopolític.

Ubicada/t a Barcelona

ver +

Tres setmanes després de ser víctima d’un ciberatac, l’Hospital Clínic de Barcelona segueix parcialment paralitzat i investigat l’afectació d’aquesta agressió informàtica. Ahir, per primera vegada, el centre va reconèixer en un comunicat publicat a la seva pàgina web (però que no va enviar a la premsa) que es podria haver compromès la confidencialitat de les dades de pacients i treballadors».

El 5 de març, el Clínic va rebre un atac de tipus ‘ransomware’, un mètode amb què els cibercriminals segresten dades especialment importants i demanen un rescat per desbloquejar-ne l’accés. RansomHouse, el grup de pirates informàtics que hi ha darrere de l’agressió, ha reclamat al Govern el pagament de 4,5 milions de dòlars (4,2 milions d’euros) per alliberar els 4,4 terabytes de dades afectades, una exigència que les autoritats han rebutjat.

El centre va confirmar aquest dilluns que encara no poden consultar els arxius dels servidors afectats, fet que dificulta saber l’abast real del ciberatac. Fonts de la investigació van assenyalar el 8 de març a EL PERIÓDICO que es podrien haver robat dades d’assajos sobre càncer i malalties autoimmunes, àmbits en els quals el centre és capdavanter. Sanitaris van assegurar llavors a aquest diari que els atacants haurien accedit a les seves nòmines i dades fiscals.

No obstant, les autoritats no han confirmat aquestes informacions. Les últimes setmanes han remarcat que l’atac no va afectar el SAP, el sistema informàtic de gestió empresarial en el qual es gestionen dades com ara la informació financera de l’hospital, nòmines dels treballadors, investigació i llistes d’urgències. Sergi Marcén, secretari de Telecomunicacions i Transformació Digital de la Generalitat, va assegurar el 10 de març que «ni la base de dades estructurals del Departament de Salut ni la història clínica compartida dels pacients ha estat compromesa».

Obligació legal

El Clínic ha reconegut el possible cop a la «confidencialitat de les dades de pacients i treballadors» per obligació legal. L’article 34 del Reglament General de Protecció de Dades (RGPD) estableix que, davant una violació de la seguretat de les dades, «el responsable ha de comunicar sense dilació indeguda a les persones afectades si és probable que comportin un risc alt per als seus drets i llibertats». Segons ha pogut saber EL PERIÓDICO, l’hospital ja va notificar a l’Autoritat Catalana de Protecció de Dades (APDCAT) el ciberatac sofert —com marca la normativa europea—, tot i que encara no s’han especificat les dades afectades.

L’exposició de dades, com és habitual, podria derivar en més ciberatacs. «Mentre no es disposi de tota la informació es recomana prestar especial atenció davant possibles comunicacions o requeriments de dades que els puguin arribar mitjançant correus electrònics, terminals mòbils o altres mitjans per evitar eventuals suplantacions d’identitat», diu el comunicat del Clínic.

Canvi de contrasenyes

En el comunicat publicat dilluns, l’hospital insisteix que està treballant de manera coordinada amb l’Agència de Ciberseguretat de Catalunya i amb els Mossos d’Esquadra per determinar quines dades han sigut afectades, mirar de restaurar la informació i realitzar un «canvi massiu» de contrasenyes.

Notícies relacionades

Tot i que continua sense tenir accés a internet, el Clínic ha pogut recuperar part de la seva activitat gràcies al fet que l’equip de ciberseguretat del centre ha pogut aixecar un sistema paral·lel a l’afectat. Divendres passat, l’hospital va informar que s’havien pogut recuperar un 48% dels servidors, que estaven sent analitzats per detectar que no hi hagués rastre del virus implantat pels pirates informàtics.

Atacar els sistemes informàtics dels hospitals és un mètode a què cada vegada recorren més cibercriminals, ja que al posar vides en risc genera molta més pressió a les víctimes perquè paguin. Tot i així, tant cossos policials com experts en ciberseguretat recomanen no cedir al xantatge, ja que alimenta aquest fosc negoci.