Los ciberdelincuentes que atacaron el hospital Clínic filtran una tercera entrega de datos


El centro barcelonés, que sufrió el robo masivo de información a principios de marzo, estudia la magnitud de la filtración


El grupo de ciberdelincuentes RansomHouse ha filtrado un tercer paquete de los datos robados al hospital Clínic de Barcelona hace cuatro meses tras las dos primeras filtraciones, a finales de marzo y a mediados de abril. El centro hospitalario está actualmente estudiando qué tipo de datos se trata y su magnitud. “Desde la primera filtración ya dijimos que se publicarían nuevos datos”, lamenta un portavoz.

La información difundida en la dark web, el espacio oculto de sitios de Internet a los que no se puede acceder con navegadores convencionales, recoge datos sanitarios de pacientes, resultados identificativos, ensayos clínicos e información personal de los profesionales como documentos de identidad, números colegiales o de teléfonos, entre otros, según comprobó EL PAÍS. RansomHouse pidió inicialmente un rescate de más de cuatro millones para evitar la filtración, pero la Generalitat ya descartó entonces abonar ninguna cantidad. La Autoridad de Protección de Datos estudia actualmente si sanciona al hospital por la megafiltración.

El primer ataque llegó el 5 de marzo con el robo de 4,5 terabytes de información, que obligó al Hospital Clínic a desprogramar visitas. La actividad estuvo afectada severamente los primeros días, pero se recuperó la normalidad a las pocas semanas. El Clínic tuvo que cambiar como mínimo 8.000 contraseñas e instaló el sistema de la doble autenticación para mejorar su ciberseguridad. El centro había iniciado la integración a la Agencia de Ciberseguridad de Cataluña a principios de 2023, más de un año después de que el organismo público creara en septiembre del 2021 un plan de protección específico para el sistema sanitario, según admitieron altos cargos de la Agencia a EL PAÍS. Durante el ciberataque el Clínic aún no estaba bajo el amparo de su modelo de protección.

A lo largo de estos meses, los hackers animaron a los pacientes del centro hospitalario a denunciar la pérdida de sus datos personales. Consultados por este diario, el Síndic de Greuges no ha recibido ninguna denuncia, como tampoco la Autoridad de Protección de Datos, que actuó de oficio en su investigación. El organismo prevé fallar en septiembre, pero el Clínic considera que no recibirá ninguna sanción. El Clínic y la Agencia de Ciberseguridad continúan trabajando “coordinadamente”, según el portavoz del centro, que recuerda que “la publicación total o parcial de los datos es un delito”.

No hay comentarios:

Publicar un comentario