"¡Tenemos una nueva incorporación a nuestra lista!". Con esta frase, el grupo de ciberdelincuentes RansomHouse ha anunciado a través de su canal de Telegram la publicación de parte de los datos que robó del Hospital Clínic de Barcelona, donde se incluye información personal tanto de pacientes como trabajadores, además de documentos internos de todo tipo. En concreto, aseguran contar con un archivo de 4,4 terabytes, por el que piden un rescate de 4,5 millones de dólares. Por ahora, todos esos registros son visibles para todo el mundo mediante un enlace. Para acceder, eso sí, es necesario entrar a la darkweb, por lo que no funciona en navegadores y routers convencionales.

Hasta ahora, RansomHouse no había reivindicado públicamente el ataque, lo que había hecho levantar sospechas sobre si realmente eran ellos quienes estaban tras la operación, que era lo que habían asegurado los responsables del hospital. Tal y como ha podido comprobar este periódico, en los paquetes de datos se pueden encontrar de forma íntegra informes de tratamientos experimentales a pacientes de cáncer, pruebas de electrocardiogramas o los contratos de nuevos empleados del hospital, entre otros.

Según El Periódico, hace tres semanas, esta organización habría contactado ya con el hospital para exigirles el rescate, algo a lo que se habrían negado. En España, el Código Penal prohíbe directamente favorecer la "fundación, organización o actividad" de bandas criminales mediante su "cooperación económica". Sin embargo, tal y como explicaron fuentes del sector a El Confidencial, consultores independientes y aseguradoras ofrecen estos servicios de manera extraoficial para evitar problemas. "Ninguna empresa admitirá haber pagado un rescate, pero la verdad es que lo hacen casi cada día", comentaba entonces un especialista en ciberseguridad de forma anónima.

"Sois escoria de la peor calaña. No entiendo cómo podéis publicar datos sanitarios e información sobre trabajadores que han dado su vida durante la pandemia para salvar la de otros, y que lo dan todo cada día para mantener la salud de la población", ha sido la única respuesta que ha tenido el grupo en su canal de Telegram. En este sentido, también les afeaba que la publicación de los datos de pacientes puede perjudicarles en su día a día, ya que, "por el simple hecho de haber padecido cáncer, podrían denegarles hipotecas y consecuencias similares". "No sois más que terroristas desalmados. No entiendo cómo podéis dormir por las noches", zanjaba el mensaje.

El modus operandi de RansomHouse

Hasta ahora, el modelo de RansomHouse había pasado por el robo de datos aprovechando vulnerabilidades en los sistemas internos de una organización. "Creemos que los culpables no son los que encontraron la vulnerabilidad o ejecutaron el jaqueo, sino los que no cuidaron debidamente la seguridad. Los culpables son los que no pusieron candado a la puerta, dejándola abierta de par en par e invitando a todos a entrar", asegura este grupo de ransomware en su página, de acuerdo con Bleeping Computer.

Una vez han conseguido los datos, el modus operandi del ransomware consiste en negociar un pago para recuperarse del ciberataque. En caso de que la víctima no pague, esa información solía quedarse encriptada (e inaccesible), una operativa que ha cambiado en el último año para añadir una forma de extorsión adicional y que habría sido asumida por RansomHouse. Así, ahora los atacantes aprovechan para tratar de vender esos datos y, si no lo consiguen, los publican en su propia web, una forma de extorsión adicional.

Robar tus datos para que los vea cualquiera: los ciberataques van a darte donde más te duele

Es algo que ha hecho que muchos sospechen que se trata de "hackers de sombrero blanco", que no son otra cosa que aquellos que tratan de explorar los fallos de seguridad para demostrar que una empresa tiene problemas (o que no invierten lo suficiente en esta materia). Lo habitual es que sean contratados por las propias empresas para protegerse, pero, en este caso, podría tratarse de expertos descontentos con el sector.

"Según RansomHouse, muchas empresas no están dispuestas a invertir tanto dinero como se requiere para fortificar sus infraestructuras, mientras que ignoran o no instituyen suficientes planes de recompensas por fallos", explicaba un informe de la firma de ciberseguridad CyberInt el pasado mayo. "Muchos de los miembros de la comunidad de cazadores de bugs llevan tiempo quejándose de las empresas que no quieren pagarles lo suficiente por su duro trabajo mientras siguen disfrutando de sus frutos". En este sentido, esta investigación también destacaba que, una vez se paga el rescate, RansomHouse "ayuda a las empresas a protegerse de futuros ataques" y "asegurar borrar cualquier información robada".