Un incidente de seguridad se detectó el pasado 9 de julio en las páginas web de los hospitales Clínico San Cecilio y Virgen de las Nieves de la capital granadina, así como en las del Área de Gestión Sanitaria Sur de la provincia y del Distrito Metropolitano de Granada . afectó datos como documentos de identidad o correos electrónicos de alrededor de 50.000 trabajadores de la salud, sin afectar la infraestructura crítica o los servicios de atención médica. No hay información bancaria o del paciente comprometida. Todo esto después de que el atacante exigiera un rescate de 2.500 dólares. bitcoin eso no fue pagado.
Según ha informado este lunes en una nota del Consell, el Servicio Andaluz de Salud (SAS), recabando toda la información, comunicó la incidencia a través de correo electrónico a los profesionales afectados, recomendándoles «prestar especial atención a aquellas comunicaciones o solicitudes de datos que puedan llegar a ellos a través de correo electrónico, terminales móviles u otros medios, para evitar posibles imitaciones.
Tras un primer análisis se detectaron indicios de fuga de datos, como nombres y apellidos, DNI, teléfonos, categoría profesional, correo electrónico de la empresa, credenciales de usuario de la empresa y contraseñas cifradas de aproximadamente 50.000 profesionales de SAS, no todos en activo. Ninguna información bancaria o del paciente se vio afectada.
Desde que se conoció el incidente, el SAS, a través de la Subdirección de Tecnologías de la Información y las Comunicaciones, junto con el Servicio Provincial de Granada, ha estado actuando «con la máxima coordinación, tanto interna como externa, creando comisiones y comités de trabajo» con el objetivo de «implementar las acciones necesarias para restaurar los servicios y completar el proceso de recuperación y protección de datos».
El SAS inmediatamente comenzó a abordar el incidente con los organismos reguladores, así como con las fuerzas estatales y los organismos de seguridad. Fuentes cercanas a la investigación abierta consultadas en Sanidad por Europa Press subrayaron que los hechos han sido denunciados, aunque no existen otros informes a nivel individual de profesionales que hayan sido posibles víctimas de suplantación de identidad.
Los datos que pueden haber sido robados se remontan a hace siete u ocho años, por lo que se debe prestar especial atención a las comunicaciones que puedan llegar a los profesionales no sólo a través del correo electrónico, sino también a través del teléfono móvil o del correo postal. Las páginas web de los hospitales de Granada y Motril, así como del resto de hospitales afectados, aún se encuentran en mantenimiento, añadieron estas fuentes.
El atacante exigió 2.500 dólares en bitcoins en 48 horas para no publicar los datos, por lo que no se pagó una demanda de rescate, como exige la ley, que fue puesta en conocimiento de las autoridades competentes, incluso a nivel estatal. SAS actualizó servidores, cambió contraseñas y restringió el acceso a bases de datos.
Según se indica en el comunicado, los hechos salieron a la luz cuando un atacante envió un correo electrónico al webmaster del sitio de San Cecilio y a otros destinatarios, indicando que había detectado «una vulnerabilidad en la página a través de la cual podía ejecutar código malicioso y tomar control de la base de datos en caso de impago del rescate financiero.
Teniendo esto en cuenta, los servidores y sitios web afectados, así como el resto de servicios en línea provinciales, fueron «aislados y dejados en mantenimiento», precisó el Consistorio.
En cuanto a la disponibilidad, los sitios web y servicios afectados permanecerán inactivos hasta que concluyan las actividades de investigación, recalcaron. Desde el primer momento existen tanto los recursos humanos necesarios como las herramientas para detectar y dar respuesta a este tipo de incidencias.