03.04.2023 - 21:40
D’ençà de fa dues setmanes, l’activitat assistencial de l’Hospital Clínic de Barcelona és pràcticament normalitzada, malgrat el ciberatac que va rebre el 5 de març. La previsió és que passat Setmana Santa l’hospital s’hagi posat al dia amb els pacients i hagi recuperat tota l’activitat que va deixar de fer els primers dies a causa del blocatge informàtic. El sobreesforç dels professionals sanitaris ha ajudat a girar full amb una relativa rapidesa quant a l’afectació assistencial, però encara és pendent de resoldre un altre problema de gran profunditat: la publicació de milers de documents amb dades confidencials de pacients, metges, directius, proveïdors i de l’hospital mateix.
La matinada de dijous els autors del ciberatac, el grup de pirates RansomHouse, van publicar a la seva pàgina web de la internet fosca una porció dels arxius privats que havien robat dels ordinadors de l’Hospital Clínic. És una part molt petita del total que van sostreure –tan sols el 0,08% dels 4,5 terabytes que van robar–, però serveix per a copsar la importància de la filtració d’unes dades confidencials que, en males mans, poden ser explotades amb finalitats criminals. El govern es reafirma en la negativa de pagar el rescat de 4,5 milions de dòlars que RansomHouse demana, i assumeix que els cibercriminals publicaran periòdicament més i més paquets de dades per augmentar la pressió fins a publicar en obert totes les dades, o parcialment, si n’ha venut alguna part a tercers.
VilaWeb ha tingut accés a la informació publicada fins ara i, després d’haver-la analitzada, ha constatat el risc que aquesta filtració té per a persones concretes directament afectades. Hi ha noms complets, números de telèfons, adreces físiques i de correu electrònic, horaris, contractes laborals, dades bancàries, números de la seguretat social, fotografies de DNI i signatures d’alguns treballadors, col·laboradors i directius de l’Hospital Clínic. També hi ha informació de pacients identificats amb noms i cognoms, i dels quals hi ha anàlisis, diagnòstics, receptes, observacions mèdiques i calendaris de tractaments. És cert que, com van informar els responsables de l’Hospital Clínic i de l’Agència de Ciberseguretat de Catalunya, no hi ha dades de la història clínica compartida dels pacients, atès que el sistema que la gestiona no va rebre el ciberatac. Ara bé, això no significa que no hi hagi dades de salut dels pacients. Val a dir que no tota la informació és actualitzada. De fet, gran part dels arxius tenen data d’anys anteriors.
El principal risc que comporta la publicació de tota aquesta mena de dades és que dóna via lliure als cibercriminals per a posar-se en contacte amb els afectats i estafar-los o extorquir-los. Experts de l’Agència de Ciberseguretat van explicar a VilaWeb algunes de les estafes que poden ordir a partir de dades personals bàsiques per a dotar de credibilitat els enganys i prendre’ls els diners. Per exemple, els missatges suplantant la identitat del banc o altres organismes per tal d’accedir a les seves claus bancàries i fer operacions sense permís, o la suplantació de la persona afectada per a contractar serveis o préstecs en nom seu. El potencial per a explotar criminalment dades personals privades és molt alt, i és per això que els cossos policíacs insisteixen sovint a tenir molta cura de les bases de dades. Però una vegada hi ha hagut la filtració, tan sols queda que els afectats tinguin tots els sentits alerta i desconfiïn de comportaments o missatges estranys.
És per això que divendres l’Hospital Clínic va començar a posar-se en contacte amb els afectats directament per la publicació de les dades. Amb tot, el director mèdic del centre, Antoni Castells, va assumir públicament que els afectats presentaran reclamacions a l’hospital per no haver protegit correctament les dades, i va dir que les sol·licituds s’atendrien cas per cas i personalitzadament.
Carpetes a nom de treballadors i pacients
Entre la informació que han publicat els pirates informàtics, destaquen un seguit de carpetes amb noms de pila. El nom de les carpetes no ho especifica, però els arxius de l’interior mostren si són treballadors o pacients. El que hi ha dins no és uniforme en tots els casos, però s’hi poden trobar noms i documents laborals, on hi ha escrites dades tan personals com el número de la seguretat social o l’IBAN bancari. També hi ha baixes mèdiques, currículums, contractes laborals o fins i tot una fotocòpia d’un diploma universitari.
A les carpetes dels pacients hi ha, sobretot, proves i informes mèdics. També hi ha receptes i calendaris del tractament que segueixen. Les carpetes amb noms propis de pacients no són els únics espais on hi ha informació privada dels pacients atesos a l’Hospital Clínic: també hi ha alguns documents Excel amb una relació de pacients on apareixen noms, dates de naixement, diagnòstics, observacions mèdiques i tractaments. De la mateixa manera, també hi ha llistes de treballadors d’àmbits concrets amb dades com els noms, la informació de contacte, horaris o les guàrdies, entre més.
També hi ha una gran quantitat de documents relatius a la donació d’òrgans i teixits. Hi ha llistes de donants, sovint anònims –però no sempre–, relacionats amb l’òrgan que se’ls extreu, i més informació sobre les donacions.
A banda, també hi ha llistes de proveïdors de l’Hospital Clínic amb el nom de l’empresa, l’adreça i el número de telèfon.
Protocols, assaigs clínics i documents organitzatius
No tota la informació robada a l’Hospital Clínic fa referència a persones, també hi ha documents privats amb informació tècnica del centre o investigacions científiques que s’hi fan. Hi ha protocols tècnics, alguns dels quals amb la menció explícita que són documents confidencials.
Altres documents fan referència a l’organització interna de l’hospital i els treballadors, amb qüestions com les guàrdies, l’absentisme laboral o la despesa del centre. També organigrames de treballadors o un recull d’incidents durant la pràctica hospitalària.
Els Mossos admeten dificultats per a impedir la transmissió de la informació
El mateix matí del dia que es va publicar aquesta informació, l’Hospital Clínic va organitzar una conferència de premsa amb el director mèdic de l’hospital, Antoni Castells, el director de l’Agència de Ciberseguretat de Catalunya, Tomàs Roy, i el cap de la Comissaria General d’Investigació Criminal dels Mossos d’Esquadra, Ramon Chacon, que va explicar com miraven d’evitar que es difonguessin les dades robades. Va anunciar que els Mossos d’Esquadra havien aconseguit de blocar dos servidors amb informació, però va admetre que això no havia impedit que finalment es publiqués.
Va reconèixer que és una investigació difícil perquè els arxius s’han penjat en una pàgina web de la internet fosca, que no està indexada, i és una incògnita on són físicament els servidors. A més, cal tenir en compte que una vegada s’han publicat els arxius és pràcticament impossible de contenir-ne la transmissió.
