A raíz de los recientes ataques hacker al Hospital Clínic de Barcelona y al mayorista de farmacias Alliance Healthcare han dejado a muchas empresas y clientes preocupados, especialmente a las farmacias.
Antes de nada os explicaré una anécdota semanas después del ataque informático al Hospital Clínic. Fui a una farmacia a comprar medicamentos. Me tuve que esperar porque la dueña estaba haciendo copias de seguridad, y hablando del tema me dijo que el ratón se le movía solo, que estaba muy asustada y que si le podía revisar e instalar un antivirus. Ante el desconocimiento informático de esta persona, me ofrecí para hacerlo. Descargamos un antivirus, revisamos todo el equipo y estaba limpio. El ratón no se le movía por un acceso indebido desde el exterior (control remoto), sino porque el ratón había llegado al final de su vida útil (15 años tenía el ratón).
Esta anécdota demuestra el desconocimiento y la preocupación por la seguridad ante los recientes ataques informáticos.
¿Qué ha pasado en el Hospital Clínic y en el mayorista de farmacias Alliance Healthcare?
Los medios de comunicación y el propio hospital han dado informes sobre lo sucedido, pero yo, personalmente, pongo en duda el informe oficial y explicaré por qué, ya que para continuar es necesario entender lo sucedido:
● Los Mossos d’Esquadra aseguraron ‘haber derribado’ el servidor que contenía los datos antes de que se divulgaran. Yo opino que han hecho un trabajo en vano, además, ¿este ataque de los mossos, no está prohibido?, ¿Los hackers no pueden copiar estos datos en decenas de servidores en lugar de copiarlos en uno solo?. Los hackers se han reído de ellos, y aseguran que nada les va a impedir publicar los datos. Esto lo pueden hacer muy fácilmente y sin necesidad de alojar los datos en un servidor concreto. Mediante programas P2P (como el emule, edonkey o torrent), se pueden compartir fácilmente y aquí ya no hay quien lo pare, pues los datos no están en un solo servidor. Están repartidos por todo el mundo y ‘requeteduplicados’ en cientos de miles de ordenadores domésticos.
● El ataque que realizaron los Mossos d’Esquadra se basa en un ataque DDOS (Denegación de servicio). Utilizan centenares o miles de ordenadores, sincronizados todos a la vez, para que juntos realicen constantemente durante un cierto período de tiempo, peticiones al servidor atacado ( en este caso el servidor atacado era el que tenía los datos del Hospital Clínic que habían utilizado los hackers ). Todo servidor tiene una limitación física. Cuando el número de peticiones que entran desde fuera supera a las peticiones que puede responder el servidor atacado, éste se bloquea porque no puede atenderlas todas y, lógicamente, nadie puede acceder.
● Si los hackers utilizan 1.000 servidores en lugar de utilizar 1 servidor, los Mossos tendrían que multiplicar x 100.000 el número de servidores atacantes. Aparte de los recursos necesarios para realizar un ataque de esta envergadura, para cuando el último servidor estuviese inutilizado, el primero ya haría horas que estaría de nuevo en marcha, o sea, un trabajo inútil.
● Los Mossos aseguran que los hackers actuaron desde fuera de España. Yo os aseguro que el/los hackers podrían actuar incluso estando dentro del propio hospital, sentados en una sala de espera, conectados tranquilamente al wifi del hospital. Lo pueden hacer conectándose a servidores remotos alojados en otros países. Se puede acceder a otros servidores mediante túneles SSH con encriptación de la comunicación, así que nadie ve qué es lo que pasa por esta comunicación y el ordenador que actúa al final, no es el cliente, es el servidor al que ellos están conectados. Este proceso de conexión a otro servidor, se puede multiplicar, conectando de un servidor a otro, en cadena, y así sucesivamente hasta los servidores que quieran, El último servidor es el que actúa en el robo de los datos. Finalmente es tan sencillo como borrar los datos de acceso en cada servidor conectado, así eliminan cualquier huella, por lo que nadie sabe quién, cuándo ni desde dónde se han conectado.
Ya vemos que de nada sirven las actuaciones realizadas ni los informes oficiales. Los datos, lamentablemente, serán publicados por los hackers sí o sí.
Probablemente, lo que le pasó al mayorista de farmacias Alliance Healthcare, haya sido lo mismo, pero poca información tenemos al respecto. Si al final han pagado el rescate de sus datos, lo más seguro es que no puedan recuperarlos todos, además, ¿quién nos asegura que los hackers no nos pedirán un segundo rescate (por no decir más)? Ellos asegurarán que borrarán los datos, pero si nos están chantajeando de esta manera, ¿nos podemos fiar de su palabra?
¿Cómo pueden haber llegado los hackers a estos datos?
Posiblemente tengan a algún infiltrado dentro del Hospital que les haya dado claves de acceso a su sistema (auxiliares, enfermero/as, médicos, administrativos, …), y aquí, mediante ataques internos, a la fuerza bruta para romper passwords u otros sistemas, sería posible llegar a los servidores y descargar los datos. No hay sistema infalible. Yo apuesto que lo han hecho desde dentro, pues el hospital, probablemente, tenga conexiones punto a punto que impiden conexiones desde fuera. Si no han tenido acceso a ninguna conexión desde dentro, es poco probable que se puedan conectar al sistema del Hospital.
Otra posibilidad es a través de algún correo ransomware que alguien desde dentro del hospital haya abierto. Cualquier empleado que haya abierto algún fichero infectado pensando que era un correo legítimo, puede haber instalado automáticamente en ese ordenador, y sin saberlo, un software, que se ejecuta sin que se vea por ningún lado, y que esté recopilando todo lo que este usuario esté haciendo en el ordenador. Estos softwares pueden ofrecer conexión remota, envío de datos y muchísimas otras funciones para poder recopilar toda la información posible y dejar una puerta trasera abierta en el ordenador para que los hackers puedan acceder al mismo libremente.
¿Pueden llegar desde el Hospital Clínic a los ordenadores de las farmacias?
Esto es poco probable. Lo que sí que podría pasar (esperemos que no sea así) es que un ordenador de una farmacia estuviese infectado por un virus ransomware, y este virus facilitara datos de algún software de gestión específico de farmacias (Nixfarma, Farmátic, …). La intención de los hackers en este caso sería la de intentar averiguar el funcionamiento y las conexiones de estos programas, para intentar acceder a datos mucho más importantes, como los de Sifare (es decir, podrían obtener datos de los pacientes, medicación del paciente, médico, número de colegiado del médico, etc…). Para acceder al Sifare únicamente se puede hacer mediante conexiones punto a punto, por lo que desde fuera de esa red es imposible acceder. Hay que hacerlo desde una farmacia.
¿Cómo puedo proteger los datos de mi farmacia y los ordenadores de la misma?
Hay varios puntos a tener en cuenta, y todos ellos son importantes:
● Sistemas operativos de servidores actualizados. Siempre que exista una actualización de sistema, hay que actualizarla por seguridad, sobre todo en los servidores, que son los que pueden llegar a sufrir más ataques hackers.
● Sistemas operativos de ordenadores cliente actualizados. Lo mismo vale para todos los ordenadores que se conecten al servidor. Esto también se aplicará a otros aparatos, como tablets o móviles.
● Navegadores de internet actualizados (Chrome, Firefox, Safari, Opera, Explorer, …). Esto es tan importante como actualizar los sistemas operativos.
● Antivirus. Convendría instalar un antivirus en TODOS los ordenadores y servidores. Existen de gratuitos, como el AVG FREE o el AVAST. Si bien es cierto que pueden llegar a ser molestos con los mensajes o ralentizar ordenadores antiguos, por seguridad, son necesarios.
● No introducir USB’s o tarjetas de memoria SD que no sepamos de dónde han salido.
● No compartir la misma red de los ordenadores con el WIFI de los teléfonos móviles personales.
● Cambiar los passwords al menos una vez al mes. No se debe apuntar en ningún lugar visible los passwords. Esto sería una brecha de seguridad.
● Es imperativo proteger todo aparato con password (ya sea móvil, tablet, pc de trabajo o servidor).
● Las contraseñas de los programas que van por navegador web, NO se deberían guardar en el navegador.
● Cualquier instalación física extra en la misma red (videovigilancia, por ejemplo), deberá de ser instalada y configurada correctamente. NUNCA dejaremos los usuarios y passwords que puedan venir por defecto en estos aparatos. Hablando de videovigilancia, hay que huir de las cámaras que se conectan vía WIFI. Por seguridad, deberían de conectarse mediante un cableado interno y evitar el uso de WIFI.
● No compartir el WIFI con nadie (ni clientes, empleados ni comerciales). ¿Sabemos qué programas ha instalado un comercial en su tablet o si tiene la tablet infectada? Por seguridad no le facilitaremos la conexión WIFI.
● En los ordenadores de trabajo, cada empleado deberá de tener su propio usuario y password, y NUNCA deberá de ser compartido con otros compañeros de trabajo.
● Cortafuegos (firewall). Activar el cortafuegos en todos los ordenadores nos asegura que nadie se conecta desde fuera con programas no permitidos. Es una medida de seguridad paralela a tener un antivirus.
● Copias de seguridad. Esto es importantísimo. Tanto que lo detallaremos.
○ Realizar copias diarias sin sobreescribir las anteriores. Podemos realizar una copia diaria y guardarla en ficheros de lunes a domingo, por ejemplo.
○ Realizar copias mensuales.
○ Tener una copia al menos de las copias realizadas mensualmente fuera de la farmacia. Si es posible, también una diaria.
○ ¿Por qué tantas copias? Pues porque cuando los hackers infectan un ordenador y encriptan los datos, este proceso lleva un tiempo de encriptación. Podría ser que tuviésemos la mitad del ordenador encriptado pero la otra mitad no. Si realizamos una copia de seguridad, estamos copiando directamente los ficheros encriptados también, entonces, de nada nos sirve esta copia de seguridad, teniendo que recurrir a las anteriores. Es por esto que necesitamos tener tantas copias de seguridad.
○ Es conveniente tener las copias externas en la nube, y si desconfiamos en la nube, en medios físicos como un USB o una tarjeta de memoria.
● Correos Spam y phising. Mucho ojo con los correos que recibimos. Cualquier mensaje de correos, hacienda, servidor de hosting, bancos, …. En definitiva, todos los correos que no esperábamos, si nos indican que tenemos un mensaje, una factura por descargar, que vayamos a un enlace o cualquier otra notificación, iremos directamente y escribiendo la url del proveedor. Dentro de nuestra área de usuario veremos si es cierto lo que nos decían. NUNCA hacemos click directo sobre los enlaces, a no ser que estemos seguros que ese correo es legítimo. Nunca demos datos, ni passwords allí donde nos lo pidan, pues imaginemos estas dos urls: Iacaixa.com, lacaixa.com ¿Son iguales? Pues no. Dependiendo del tipo de letra que estemos viendo las direcciones, en la primera letra del primer dominio hemos utilizado una ‘i’ mayúscula, y en el segundo una ‘L’ minúscula. Puede parecer a simple vista la misma, pero son diferentes. Los hackers simulan dominios que a primera vista pueden parecer correctos, pero que no lo son, y estamos dando nuestros datos en otro servidor y directamente a los hackers. SIEMPRE tecleamos manualmente las direcciones URL. Esto que se explica aquí es igualmente válido para los demás tipos de mensajes (SMS, whatsapp, ...).
● Si queremos estar más seguros con el acceso a internet, deberemos de tener una conexión PUNTO A PUNTO para las conexiones de la farmacia, y otra con acceso a internet y ordenadores dedicados a estas conexiones de internet, sin acceso a los demás ordenadores y separándolos de la red ethernet.
● Evitaremos las conexiones desde fuera a nuestra farmacia (VPN, Teamviewer, AnyDesk, …). En caso de tenerla, deberemos asegurarnos que la empresa informática realice las actualizaciones pertinentes para tener estos sistemas actualizados. Esto es MUY IMPORTANTE, pues si hubiese un fallo de seguridad, estamos abriendo toda nuestra farmacia al exterior. Cuidado con los programas de control remoto. Aseguraos de que únicamente se conectan los responsables de servicio técnico y sólo cuando vosotros dais acceso. Confiad en los programas y/o utilidades que os recomienden ellos.
¿Qué hacer si detectamos que nos han atacado?
1. PARAR INMEDIATAMENTE TODOS LOS ORDENADORES, empezando por el servidor.
2. Desconectar todos los ordenadores de la red y llamar al servicio técnico informático.
3. NO encender ningún ordenador bajo ningún concepto, pues al arrancar el sistema operativo, continuará la encriptación hasta tener TODO el disco encriptado.
4. A partir de aquí, el servicio informático extraerá manualmente el disco físico de cada ordenador, evitando así que arranque el sistema, y lo conectará a un pc que esté limpio como disco duro secundario, para intentar realizar una copia de seguridad de los ficheros que estén limpios y que aún no se hayan encriptado. El resto de ficheros encriptados son IRRECUPERABLES. Debemos utilizar los de la última copia de seguridad.
5. Si tenemos algún ordenador que estemos seguros de que no esté infectado (uno que tengamos normalmente apagado, o fuera de la red, por ejemplo) y queremos conectarlo, deberemos asegurarnos que cuando lo arranquemos no exista ningún otro PC infectado que aún esté conectado a la misma red, pues nos podría infectar el pc nuevo y encriptarlo también.
¿Qué futuro nos espera con los hackers y la Inteligencia Artificial?
Hasta ahora los hackers se han limitado a enviar spam para acceder a nuestros datos (phishing), o con ficheros infectados para instalar aplicaciones de control remoto y encriptar ficheros (ransomware). A partir de ahora cambian las reglas del juego:
● Podremos recibir mensajes para hacernos creer que son una persona real, y nos responderán como cualquier persona, pero detrás habrá una tecnología, como un CHAT GPT, pero entrenado para engañarnos.
● Los nuevos hackers utilizarán voces reales (se puede clonar ya una voz con tan solo 3 segundos de audio),
● Ahora ya tenemos audio y texto, si lo mezclamos, podremos recibir una llama que nos puede parecer real (incluso de alguien que conozcamos), podremos tener una conversión ‘normal y corriente’ con ella, pero detrás puede haber una máquina con Inteligencia Artificial.
● Ahora que tenemos voz, le podemos agregar vídeo. Ya se están entrenando modelos con vídeo en movimiento a partir de una simple fotografía. Pronto veremos vídeos que pueden parecer reales, simulando una videoconferencia, pidiéndonos datos personales, etc... Detrás habrá una Inteligencia Artificial.
Para evitar a los futuros hackers, no quedará más remedio que aprender a discernir entre lo qué es cierto y qué es falso. Nos llegan tiempos difíciles.
* Imagen generada con IA Midjorney