Al menos 50.000 sanitarios afectados tras un ataque informático a las webs del SAS

Un incidente de seguridad detectado el pasado 9 de julio en las páginas web de los hospitales Clínico San Cecilio y Virgen de las Nieves, en la capital granadina, así como en las del Área de Gestión Sanitaria Sur de la provincia y del Distrito Granada-Metropolitano ha afectado a datos como DNI o correos electrónicos de unos 50.000 profesionales sanitarios, sin impactar en infraestructuras críticas ni en servicios asistenciales. Todo ello después de que el atacante pidiera un rescate por valor de 2.500 dólares en bitcoin que no se pagó.

Según ha informado en un comunicado la Junta este lunes, el Servicio Andaluz de Salud (SAS) ha informado del incidente a los profesionales afectados recomendándoles "prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correo electrónico, terminales móviles u otros medios, para evitar eventuales suplantaciones".

Tras un primer análisis se han encontrado indicios de filtración de datos, como nombres y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas de unos 50.000 profesionales del SAS, no todos en activo. No hay afectada información de pacientes ni de carácter bancario.

Desde que se detectara el incidente, el SAS, a través de la Subdirección de Tecnologías de la Información y la Comunicación, junto con el servicio provincial de Granada, está actuando "con máxima coordinación, tanto a nivel interno como externo, creando comisiones y comités de trabajo" con el objetivo de "implementar las acciones necesarias para restablecer los servicios y llevar a cabo el proceso de restauración y protección de los datos".

Asimismo, se ha comenzado la gestión del incidente con los organismos reguladores, así como con las Fuerzas y Cuerpos de Seguridad del Estado. Fuentes conocedoras de la investigación abierta consultadas por Europa Press han apuntado a que se han denunciado los hechos, aunque por el momento no constan otras denuncias a nivel particular de profesionales que hayan sido posibles víctimas de suplantación.

Los datos que han podido ser sustraídos se remontan hasta a siete u ocho años atrás, por lo que se pide especial cuidado ante las comunicaciones que puedan llegar a los profesionales no solo por correo electrónico, sino también a través de móvil o correo postal. Las webs de los hospitales granadinos y el de Motril, así como el resto de afectados, siguen en tareas de mantenimiento, han agregado estas fuentes.

El atacante pidió 2.500 dólares en bitcoin en 48 horas para no publicar los datos, que no se pagó, como estipula la normativa. Se trata de una petición de rescate que se puso en conocimiento de las autoridades competentes, también en el ámbito estatal. Ante lo sucedido, el SAS ha procedido a la actualización de servidores, cambiar contraseñas y restringir el acceso a bases de datos.

Según detalla el comunicado, los hechos salieron a la luz cuando un atacante mandó un correo al webmaster de la web del San Cecilio y a otros destinatarios, indicando que había detectado supuestamente "una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico".

Ante este hecho, se procedió a "aislar los servidores y las webs afectadas, dejándolas en mantenimiento, así como otros servicios online provinciales", han detallado desde la Junta.

En relación con la disponibilidad, las páginas web y servicios afectados se encuentran inactivos hasta que no finalicen las tareas de investigación. Desde el primer momento se cuenta tanto con los medios humanos necesarios como con las herramientas para la detección y respuesta ante este tipo de incidentes.

---