Un ciberataque paralizó hace más de veinte días el funcionamiento de tres de los principales centros médicos de Argentina y administrados por el Grupo Rossi: el Centro Rossi, Stamboulian Servicios de Salud y el Laboratorio Hidalgo. El ataque tuvo consecuencias inmediatas.
El Laboratorio Hidalgo suspendió toda su atención, mientras que en el Centro Rossi continúan haciéndose procedimientos médicos como resonancias magnéticas, tomografías y ecografías, pero sin conexión a los sistemas informáticos. En Stamboulian, la paralización afectó al laboratorio, aunque el servicio de vacunación sigue funcionando.
Pablo Lázaro, especialista en ciberseguridad, explica que el ataque fue un ransomware, un tipo de malware que cifra los datos de los sistemas afectados y exige un rescate. "Este tipo de malware infecta progresivamente equipos internos y, lo más grave, puede afectar incluso las copias de seguridad, lo que significa que, en caso de un ataque, tus backups también pueden estar comprometidos", señala.
En este tipo de ataques, los ciberdelincuentes suelen exfiltrar la información antes de encriptarla, enviándola a lugares como la dark web. Si no se paga el rescate, los datos pueden ser publicados, subastados y finalmente regalados con el objetivo de presionar a las víctimas.
Marcos Mansueti, especialista con casi 30 años de experiencia en seguridad informática, explica que este tipo de ataques, además de afectar la operatividad de las instituciones, compromete seriamente la confidencialidad, integridad y disponibilidad de los datos de pacientes.
"El ransomware sigue un ciclo de vida que incluye varias etapas. Primero, se infiltra de manera silenciosa en un equipo, muchas veces debido a vulnerabilidades no corregidas o un error humano. Luego se propaga por la red, lo que se conoce como 'movimiento lateral', y finalmente, cifra los datos, paralizando la operativa de la organización", comenta Mansueti.
El Grupo Rossi emitió un comunicado en el que informó sobre el ataque, detallando que ya se había "tomado intervención oportuna" y que la situación "estaba controlada". Sin embargo, la entidad advirtió que debido a la alta demanda de consultas, las líneas de contacto con los pacientes podrían estar parcialmente afectadas. A pesar de la gravedad de la situación, el grupo aclaró que no había indicios de que los datos personales de los pacientes fueran comprometidos. Sin embargo, los ciberdelincuentes encriptaron y bloquearon las bases de datos para exigir un rescate.
Lázaro también menciona que este tipo de ataques es particularmente complicado de resolver. "El ransomware aprovecha vulnerabilidades específicas en los sistemas para ingresar y, una vez dentro, encripta los datos con algoritmos robustos como AES-256 o RSA-1024, que no pueden ser descifrados sin la clave, que solo tiene el atacante. Aunque existen herramientas como nomoreransomware.org que pueden ayudar en algunos casos, la realidad es que el 99% de los casos no tienen solución sin el pago del rescate", señala.
El impacto en el sistema de salud
Además de paralizar diversos servicios esenciales, el ataque generó una crisis que afecta directamente la salud de miles de pacientes. La imposibilidad de acceder a las bases de datos retrasó la emisión de resultados de análisis clínicos y esto produjo demoras en diagnósticos y tratamientos. Este hecho resulta aún más grave si se tiene en cuenta la relevancia del Grupo Rossi en el mercado de estudios médicos en Argentina. Tras la adquisición de otros centros y laboratorios, como el mencionado Hidalgo y Stamboulian, el grupo se consolidó como uno de los principales actores del sector.
El Grupo Rossi no es el único afectado. El hospital Churruca y la Comisión Nacional de Energía Atómica (CNEA) también sufrieron ataques. Paralelamente, a nivel mundial, los ataques cibernéticos a centros médicos y hospitales crecieron y afectaron tanto a grandes instituciones como a pequeños centros de salud. En el Reino Unido, por ejemplo, un ciberataque a Synnovis, proveedor de servicios de patología para importantes hospitales, paralizó gran parte de la operación de varios hospitales, incluidos el Guy's y St Thomas' y el King's College Hospital.
Este ransomware interrumpió el procesamiento de pruebas médicas y obligó a cancelar más de 800 operaciones y 700 citas ambulatorias en una semana, retrasando diagnósticos importantes, incluidos los de cáncer y trasplantes. Además, la capacidad de realizar análisis de sangre se redujo drásticamente, pasando de 10.000 pruebas diarias a solo 400. Esto agravó aún más la crisis.
Ransomware as a Service y el factor humano
Lázaro agrega que una de las dinámicas que está tomando cada vez más fuerza en los ciberataques es el ransomware as a service (RaaS), un modelo que facilita a los cibercriminales llevar a cabo estos ataques sin necesidad de ser expertos en programación.
"Existen servicios en la dark web, conocidos como 'ransomware as a service', donde un empleado malintencionado puede descargar un malware, instalarlo en la organización y recibir una comisión si la empresa paga el rescate", explica Lázaro. Por eso el especialista hace énfasis en el riesgo de los empleados infieles. Aunque no se puede afirmar con certeza que haya sido el caso en el ataque al Grupo Rossi, el experto señala que en muchos ataques dirigidos, los empleados malintencionados juegan un papel crucial.
"El ransomware, al igual que otros tipos de ataques dirigidos, a menudo se ve facilitado por empleados internos. Estos pueden actuar de manera inadvertida o con conocimiento de causa, ayudando a los atacantes a ingresar a las redes de la empresa", comenta Lázaro. Esta vulnerabilidad interna es uno de los aspectos más difíciles de abordar, ya que los atacantes se aprovechan de la confianza dentro de la organización.
La importancia de la preparación y la prevención
Mansueti agrega que estos ataques están aumentando por la falta de preparación del sector. "La clave para ser resilientes frente a un ataque es asumir que un ataque es inevitable en algún momento", señala. Además, remarca la importancia de tener un plan de recuperación ante desastres y copias de seguridad bien gestionadas. "Nunca debés confiar exclusivamente en los backups en línea. Deben estar físicamente separados de los datos originales para garantizar que no se vean afectados por el ransomware", recomienda Mansueti.
Para los especialistas, la mejor forma de combatir este tipo de ataques es la prevención. Lázaro subraya la importancia de "invertir en actualizaciones de seguridad, utilizar sistemas avanzados de protección como los EDR (Endpoint Detection and Response) o XDR, y contar con dispositivos de última generación con detección y respuesta". Pero, quizás lo más importante, dice, es que las organizaciones deben tener personal capacitado en ciberseguridad. "Los ransomware mutan constantemente, por lo que las soluciones tradicionales basadas en firmas ya no son suficientes", advierte.
Mansueti también enfatiza la relevancia de la concientización. "Muchas organizaciones no invierten lo suficiente en educar a sus empleados sobre los riesgos y las mejores prácticas. El desconocimiento de los empleados puede ser un factor crítico en la vulnerabilidad de la organización", comenta. De hecho, el factor humano sigue siendo uno de los principales puntos débiles en la seguridad. Según Mansueti, "es fundamental que los empleados comprendan que un error podría tener consecuencias graves para toda la organización".
Por último, el especialista Julio López, detalla que lo que se le pide a los equipos técnicos y su obligación es tratar de tener la menor cantidad de información susceptible a ser captada por un ransomware. "También se les pide salir adelante lo más rápido posible del bache de servicios que provoca el impacto de un ransomware. Sin embargo, no se los puede culpar por el ransomware, porque también tiene que ver el usuario, con que los antivirus no los detectan; son una serie de factores".
Paralelamente, subraya que, "en estos casos, el Ministerio de Salud debería actuar rápidamente para determinar, junto con los entes afectados, cuáles son los datos que ellos creen que se filtraron". "Eso es lo que está fallando en este momento", cierra.