En marzo, cuando Change Healthcare pagó 22 millones de dólares a una banda de ransomware que había incapacitado a la empresa junto con cientos de hospitales, consultas médicas y farmacias de todo Estados Unidos, el sector de la ciberseguridad advirtió de que el pago de la extorsión de Change no haría sino alimentar un círculo vicioso: Recompensar a los hackers que habían llevado a cabo un despiadado acto de sabotaje contra el sistema de salud estadounidense en todo el país con uno de los mayores rescates por ransomware de la historia, parecía que iba a incentivar una nueva ola de ataques contra víctimas igualmente delicadas. Pues esa ola acaba de llegar.
En abril, la firma de ciberseguridad Recorded Future rastreó 44 casos de grupos de ciberdelincuentes que atacaban organizaciones de asistencia médica con ransomware, robaban sus datos, encriptaban sus sistemas y exigían pagos a las compañías mientras mantenían sus redes como rehenes. Según Allan Liska, analista de inteligencia de amenazas de la empresa, esto supone más víctimas de ransomware en el sector de la salud que en cualquier otro mes que Recorded Future haya visto en sus cuatro años de recopilación de esa información. Si comparamos esa cifra con los 30 incidentes de marzo, también se trata del segundo mayor aumento intermensual de incidentes jamás registrado por la organización.
Si bien Liska aclara que no puede asegurar la razón de ese repunte, sostiene que es poco probable que sea una coincidencia que se produzca tras el pago de ocho cifras de Change Healthcare al grupo de hackers conocido como AlphV o BlackCat que asediaba a la empresa.
“Esta clase de pagos cuantiosos incentivará por completo a los agentes del ransomware a perseguir a los proveedores de asistencia médica”, destaca Liska, “porque piensan que allí se gana más dinero”.
Atención médica: un objetivo tentador para los ataques de ransomware
Aunque la mayoría de las víctimas de ransomware en el sector de la salud de los dos últimos meses han sufrido discretamente, unas cuantas han experimentado alteraciones potencialmente mortales a una escala difícil de pasar por alto. Ascension, una red de 140 hospitales y 40 residencias de la tercera edad, fue objetivo de un grupo de ransomware conocido como Black Basta y se vio obligada a redirigir ambulancias de los hospitales en algunos casos, según la CNN, retrasando potencialmente los procedimientos de urgencia para salvar vidas. El conocido grupo de hackers LockBit publicó 61 gigabytes de información robada del hospital Simone Veil de Cannes (Francia), tras negarse a pagar un rescate. Y a principios de este mes, la compañía de patología Synnovis se vio afectada por un ransomware, supuestamente obra del grupo ruso Qilin, que obligó a varios hospitales londinenses a retrasar intervenciones quirúrgicas e incluso a buscar más donantes de sangre del tipo O, debido a la incapacidad de los hospitales para hacer coincidir el suministro existente con los pacientes que necesitaban transfusiones.
De hecho, los ataques de ransomware contra objetivos sanitarios iban en aumento incluso antes del ataque a Change Healthcare, que impidió a la filial de United Healthcare procesar pagos de seguros en nombre de sus clientes proveedores de atención médica a partir de febrero de este año. Liska, de Recorded Future, resalta que en todos los meses de 2024 se han producido más ataques de ransomware contra la asistencia sanitaria que en el mismo mes de cualquier año anterior que él haya registrado.
Aunque los 32 ataques de este mayo son inferiores a los 33 del mismo mes de 2023, Liska indica que espera que la cifra más reciente aumente a medida que otros incidentes sigan saliendo a la luz.
Sin embargo, Liska sigue resaltando el pico visible en abril en los datos de Recorded Future en particular como un probable efecto secundario de la debacle de Change, no solo por el cuantioso rescate que pagó a AlphV, también por la perturbación tan evidente que causó el incidente. “Como estos ataques son tan impactantes, otros grupos de ransomware ven una oportunidad”, subraya Liska. También apunta que los ataques dirigidos a la atención médica han seguido creciendo incluso en comparación con los casos generales de ransomware, que se mantuvieron relativamente estables o descendieron en general: En los cuatro primeros meses de este año, por ejemplo, se produjeron 1,153 ataques, frente a los 1,179 del mismo periodo del año anterior.
Cuando WIRED se puso en contacto con United Healthcare en busca de comentarios, un representante de la empresa señaló el aumento general de los ataques de ransomware en el sector de la salud a partir de 2022, sugiriendo que la tendencia general precedía al incidente de Change. El vocero también citó el testimonio que el CEO de United Healthcare, Andrew Witty, dio en una audiencia en el Congreso sobre el caso de Change Healthcare el mes pasado. “Al abordar los numerosos retos que plantea la respuesta a este ataque, incluida la petición de rescate, me he guiado por la prioridad primordial de hacer todo lo posible para proteger la información médica confidencial de las personas”, declaró Witty en la audiencia. “Como director general, la decisión de pagar un rescate fue mía. Una de las decisiones más difíciles que he tenido que tomar. Y no se la desearía a nadie”.
La creciente industria de las amenazas de ransomware
La complicada situación del ransomware contra Change Healthcare se complicó aún más, mientras atrajo aún más la atención del submundo de esta clase de hackers, por el hecho de que AlphV parece que cobró los 22 millones de dólares de la extorsión y engañó a sus socios ciberdelincuentes, desapareciendo sin darles su parte de las ganancias. Esto condujo a una situación muy inusual en la que los afiliados ofrecieron los datos a otro grupo, RansomHub, que exigió un segundo rescate a Change mientras amenazaba con filtrar la información en su sitio de la dark web.
Esa segunda amenaza de extorsión desapareció después inexplicablemente del sitio de RansomHub. United Healthcare se ha negado a responder a las preguntas de WIRED sobre ese segundo incidente o a contestar si pagó otro rescate.
No obstante, muchos hackers de ransomware creen que Change Healthcare pagó en realidad dos rescates, comenta Jon DiMaggio, investigador de la firma de ciberseguridad Analyst1, que suele hablar con miembros de bandas de ransomware para recabar información. “Todos comentaban sobre del doble rescate”, cuenta DiMaggio. “Si la gente con la que converso está entusiasmada con ello, no es descabellado pensar que otros hackers también lo estén”.
El ruido que creó esa situación, así como la magnitud del perjuicio que supuso para los proveedores de atención médica ese tiempo de inactividad de Change Healthcare y su elevado rescate, sirvieron de reclamo perfecto para el lucrativo potencial del hackeo de víctimas de la asistencia sanitaria frágiles y con mucho en juego, observa DiMaggio. “La asistencia sanitaria siempre ha tenido mucho que perder, es algo de lo que el adversario se ha dado cuenta ahora gracias a Change”, opina. “Simplemente llevan mucha ventaja”.
A medida que esos ataques se multiplican, y es probable que algunas víctimas del sector de la salud hayan pagado sus propios rescates para controlar los daños a sus sistemas salvavidas, no es probable que se detengan. “Siempre ha parecido un objetivo fácil”, agrega DiMaggio. “Ahora se ve como un objetivo fácil que está dispuesto a pagar”.
Artículo publicado originalmente en WIRED. Adaptado por Andrei Osornio.
