Si no pagás publicamos tus sesiones de terapia: ciberchantaje a miles de pacientes en Finlandia
La pesadilla de muchas personas que revelan en sus sesiones de terapia sus sentimientos y pensamientos más íntimos se ha hecho realidad en Finlandia. Un grupo de hackers ha accedido a los registros de la empresa de salud mental Vastaamo, que administra 25 centros de psicología en el país nórdico, según reveló la semana pasada la policía finlandesa. Los ciberdelincuentes han tenido acceso a toda la información confidencial que cientos de pacientes comparten con sus terapeutas. A cambio de no hacer públicos los tratamientos y las conversaciones con sus psicólogos, los piratas informáticos piden a cada paciente 200 euros en bitcoins.
"Estamos investigando un delito de seguridad y extorsión, entre otros cargos", dijo Robin Lardot, director de la Oficina Nacional de Investigación de Finlandia, el fin de semana pasado, según recoge The Guardian. Lardot añadió que creían que el número de pacientes cuyos registros se habían visto comprometidos ascendía a decenas de miles. Más detalladamente, informó de que en la dark web, la zona de Internet oculta a los motores de búsqueda convencionales, había aparecido un archivo de 10 gigas que contenía notas privadas entre al menos 2000 pacientes y sus terapeutas.
Aunque algunos datos ya se hayan filtrado, los ciberdelincuentes siguen chantajeando a los pacientes. "Con la publicación de una parte de los datos que han robado lo que los ciberdelincuentes están demostrando es que no están mintiendo, que realmente tienen la información que dicen tener", explica Óscar Lage, experto en ciberseguridad de Tecnalia. "Es una estrategia habitual para presionar más a las víctimas".
Las autoridades finlandesas han creado una web para las víctimas del ciberataque, donde les piden que no paguen el chantaje. Lage coincide con que esto es lo más aconsejable. "Cuando piden una cantidad tan baja es porque quieren que sea accesible para cualquiera, que la gente no se lo piense y pague", explica el experto. "Pero nadie debería hacerlo. Lo que sucede cuando accedes a lo que te piden es que los ciberdelincuentes saben para qué persona es más importante la información, quién está dispuesto a pagar y quién no. Y es posible que, si les dan los 200 euros, les pidan más dinero".
Además, nadie puede asegurar a los pacientes que los cibercriminales no vayan a filtrar la información aunque reciban el dinero. "Podrían haber vendido ya los datos a alguna empresa que quiera usarla para publicidad, por ejemplo", señala Lage. "La información médica es de las mejor pagadas en la dark web".
Cómo suceden este tipo de ataques
No han trascendido detalles sobre cómo se llevó a cabo exactamente el ataque, pero en estos casos, según la opinión de Lage, lo más habitual es que los cibercriminales envíen correos electrónicos con un troyano —un programa malicioso que se camufla como software inofensivo— para robar los datos de esta empresa en concreto, lo que se conoce como spear phishing.
Una vez que alguno de los trabajadores abre un correo electrónico malicioso, los ciberdelincuentes pueden acceder a la información que se guarda en el equipo, propagarse por otros equipos e incluso llegar a secuestrarlos. "Los correos maliciosos que se envían con este tipo de ataques tienen una tasa de apertura más alta de lo habitual porque están muy personalizados", explica Lage. Una vez que tienen acceso a la información de los pacientes, proceden a intentar chantajearlos.
Tras hacerse público el ataque, Vastaamo, la empresa de salud mental, dijo que había iniciado una investigación interna y que se había verificado la seguridad actual de su base de datos. Señaló que se cree que el robo real ocurrió hace dos años. "Según la información actual, no se han filtrado datos desde noviembre de 2018", declaró el presidente de la firma, Tuomas Kahri, al periódico Helsingin Sanomat. En este tipo de acciones, los cibercriminales suelen estar entre 100 y 200 días de media recopilando información.
El efecto sobre la salud de las víctimas
El hackeo, dirigido a algunas de las personas más vulnerables de la sociedad, incluidos niños, ha causado una conmoción generalizada en el país nórdico. Los ministros se reunieron el domingo pasado para discutir cómo apoyar a los pacientes cuyos datos se habían filtrado y algunas empresas privadas de ciberseguridad están intentando interceder. Mikko Hyppönen, de la firma de seguridad de datos F-Secure, anunció en un tuit que su empresa estaba dispuesta a rastrear los pagos que ya se habían hecho para intentar devolver el dinero a las víctimas.
This message from security expert @mikko to those affected by the #Vastaamo hack/extortion. Mikko Hyppönen invites any who have paid the #bitcoin ransom to email him with details of the transaction so the recipient cryptowallets can be identified & the currency's movement traced. https://t.co/gLK6Y0WKfx&— World Ethical Data Forum (@WEDF_forum) October 28, 2020
La peculiaridad de este ataque es que, además de extorsionar a los pacientes, también pone en riesgo su salud mental. Los afectados, angustiados, inundaron los servicios de apoyo que las instituciones habían puesto a su disposición al conocerse la filtración. La angustia por pensar que sus pensamientos más íntimos están al alcance de cualquiera en la web genera sentimientos de estrés y ansiedad muy elevados que pueden agravar sus dolencias o los trastornos por los que estaban yendo a terapia, según explica Julia Vidal, psicóloga sanitaria y directora de la clínica Área Humana, en Madrid.
"La consulta es un lugar seguro e íntimo, y la confianza de que lo que se trata allí es confidencial y de que nadie va a saberlo o juzgarlo es básica para establecer una buena relación entre el terapeuta y el paciente", explica Vidal. "Si esa confianza desaparece, la terapia se ve muy afectada. Un robo de datos confidenciales de los pacientes es un problema realmente grave".
Vidal está especialmente sensibilizada con la ciberseguridad: "El ataque que ha sucedido en Finlandia me reafirma en lo importante que es invertir en la ciberseguridad de los pacientes. Hoy ha sucedido allí, pero hay que estar preparado por si llega a suceder aquí. No hay fronteras en Internet".