La investigación llevada a cabo por el Centro Criptológico Nacional y el servicio de seguridad de Tecnología de la Informació de l'IB-Salut arroja los primeros resultados sobre el alcance del ciberataque a este departamento, sufrido el pasado 30 de diciembre, que ha dejado sin internet a la administración sanitaria de las Islas durante dos meses, y ha afectado a unos 30.000 ficheros personales. La información obtenida está relacionada con listas de espera y consentimientos informados, como los que suelen firmarse antes de una operación o para pruebas diagnósticas. Se cree que sólo se ha podido entrar en una pequeña parte de ellas. Además, no todos los afectados son pacientes, también puede haber fichas de trabajadores.
La investigación abierta se centra en el robo y uso ilícito de credenciales. En cualquier caso, el IB-Salut habilitará canales de consulta para que los ciudadanos y profesionales puedan confirmar si sus datos se han visto afectados y, de haber sido así, podrán saber la información que ha pasado en poder de los ciberatacantes. Salut ya sabe que lo más afectado son servidores de gestión de aplicaciones de todas sus gerencias que no contendrían información de carácter personal, así como a un servidor de ficheros de gestión.
Más allá de los 30.000 expedientes que hayan podido verse comprometidos, fuentes del Servei destacan que no se ha visto afectado ninguno de los sistemas asistenciales así como ninguno de los servicios telemáticos que se ofrecen a través de la sede electrónica. El ciberataque, eso sí, ha complicado la actualización de datos oficiales durante la sexta ola de la pandemia. Además se ha interrumpido la navegación por internet ya que, de acuerdo con el centro criptológico nacional, se cortó el servicio como medida preventiva para evitar posibles vías de comunicación entre los atacantes. Su restablecimiento no está previsto hasta la primera semana de marzo.
El ataque es un caso de fishing, se trataría de una empresa pirata cuyo modus operandi es la extracción de datos personales para encriptarlos y, posteriormente, solicitar un pago por el rescate. El sistema es similar al que se ha utilizado recientemente para atacar a otras instituciones como son la Universitat Oberta de Catalunya, el Instituto Nacional de Estadística, la Universitat Autònoma de Barcelona o el Hospital de Lucena. En el caso de IB-Salut no se habría llegado a la encriptación, por lo que no ha tenido lugar ningún rescate.
Fueron el sistema de alerta temprana del centro criptológico nacional y las sondas internas del Servei de Salut los que, tras analizar las alertas, confirmaron que se estaba ante un incidente de seguridad. Salut lo comunicó a la Agencia Española de Protección de Datos y también interpuso una denuncia ante la Dirección General de la Policía Nacional. El IB-Salut ha elaborado un plan de acciones por valor de 600.000 euros para reforzar las medidas y capacidades en materia de seguridad y ya ha puesto en marcha un equipo para dar respuesta a los incidentes.