Un incidente de seguridad detectado el pasado 9 de julio en las páginas web de los hospitales Clínico San Cecilio y Virgen de las Nieves, en la capital granadina, así como en las del Área de Gestión Sanitaria Sur de la provincia y del Distrito Granada-Metropolitano ha afectado a datos como DNI o correos electrónicos de unos 50.000 profesionales sanitarios, sin impactar en infraestructuras críticas ni en servicios asistenciales. No hay comprometida información de pacientes ni de carácter bancario. Todo ello después de que el atacante pidiera un rescate por valor de 2.500 dólares en bitcoin que no se pagó.
Según ha informado en un comunicado la Junta este lunes, el Servicio Andaluz de Salud (SAS), mientras recaba toda la información, ha comunicado el incidente vía correo electrónico a los profesionales afectados recomendándoles "prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correo electrónico, terminales móviles u otros medios, para evitar eventuales suplantaciones".
Tras un primer análisis, se han encontrado indicios de filtración de datos, como nombres y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas de unos 50.000 profesionales del SAS, no todos en activo. No hay afectada información de pacientes ni de carácter bancario.
Desde que se detectara el incidente, el SAS, a través de la Subdirección de Tecnologías de la Información y la Comunicación, junto con el servicio provincial de Granada, está actuando "con máxima coordinación, tanto a nivel interno como externo, creando comisiones y comités de trabajo" con el objetivo de "implementar las acciones necesarias para restablecer los servicios y llevar a cabo el proceso de restauración y protección de los datos".
Inmediatamente el SAS ha comenzado la gestión del incidente con los organismos reguladores, así como con las Fuerzas y Cuerpos de Seguridad del Estado. Fuentes conocedoras de la investigación abierta consultadas en Salud por Europa Press han apuntado a que se han denunciado los hechos si bien no constan otras denuncias a nivel particular de profesionales que hayan sido posibles víctimas de suplantación.
Los datos que han podido ser sustraídos se remontan hasta a siete u ocho años atrás, por lo que se pide especial cuidado ante las comunicaciones que puedan llegar a los profesionales no solo por correo electrónico, sino también a través de móvil o correo postal. Las webs de los hospitales granadinos y el de Motril, así como las otras afectadas, siguen en tareas de mantenimiento, han agregado estas fuentes.
El atacante pidió 2.500 dólares en bitcoin en 48 horas para no publicar los datos, que no se pagó, como estipula la normativa, una petición de rescate que se puso en conocimiento de las autoridades competentes, también en el ámbito estatal. El SAS ha procedido a la actualización de servidores, y a cambiar contraseñas y restringir el acceso a bases de datos.
Según detalla el comunicado, los hechos salieron a la luz cuando un atacante mandó un correo al webmaster de la web del San Cecilio y a otros destinatarios, indicando que había detectado supuestamente "una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico".
Ante este hecho, se procedió a "aislar los servidores y las webs afectadas, dejándolas en mantenimiento, así como otros servicios online provinciales", han detallado desde la Junta.
En relación con la disponibilidad, las páginas web y servicios afectados se encuentran inactivos hasta que no finalicen las tareas de investigación, han destacado. Desde el primer momento, se cuenta tanto con los medios humanos necesarios como con las herramientas para la detección y respuesta ante este tipo de incidentes.
Por su parte, el responsable de Seguridad de Tecnologías de la Información y Comunicación del SAS, Manuel Jimber, ha detallado, en un audio remitido a los medios, que, en un primer análisis forense, es en el que se ha verificado que "no ha habido filtración de datos de pacientes", si bien se han iniciado otros "más exhaustivos" con la colaboración de Andalucía CERT, el equipo de profesionales que tiene la Junta dedicado a prevenir, detectar y responder eficazmente a los incidentes de seguridad que puedan materializarse sobre los sistemas informáticos, para verificarlo.
Entre los organismos a los que se ha puesto en conocimiento de los hechos está el Consejo de Transparencia y Protección de Datos de Andalucía, ha precisado este portavoz, que ha indicado que los portales estarán activos cuando el SAS tenga la "garantía de que sean desplegados las medidas de seguridad necesarias".
Los profesionales deben de tener en cuenta especialmente "posibles comunicaciones o requerimientos de datos a través de correos, 'phishing' o mensajes SMS que les puedan llegar a su correo electrónico", ha agregado Jimber
