Qui és RansomHouse, el grup criminal que s'amaga darrere del ciberatac a l'Hospital Clínic

Lluny de recuperar la plena normalitat, l'Hospital Clínic segueix afectat pel ciberatac que va patir diumenge passat. De moment, ha pogut reactivar l'accés a part dels seus sistemes informàtics i reprogramat algunes de les visites i operacions anul·lades, però encara no se sap quan es tornarà a la situació anterior a l'atac; ni a l'hospital, ni als tres CAP de Barcelona també afectats per l'incident. 

Tampoc es coneix l'abast de l'afectació ni les dades que s'han filtrat, tot i que l'Agència de Ciberseguretat de Catalunya ha pogut identificar els responsables del ciberatac que ha provocat el caos en un dels hospitals més grans de Catalunya: RansomHouse, un grup criminal que opera des de fora de l'Estat i que no és la primera vegada que hackeja el sistema informàtic d'un centre sanitari. Està especialitzat en atacs ransomware. Qui són? Com actuen? Què volen? 

"Avui en dia, les dades són una moneda de canvi molt potent"

Comencem pel principi. Què són els atacs ransomware? Bàsicament, consisteixen a segrestar totes les dades possibles d'una empresa o institució pública i exigir un rescat per recuperar-les. Normalment, és informació delicada i personal, que afecta de ple a la privacitat d'un individu o institució. Si es volen recuperar les dades, cal pagar una quantitat de diners als hackers. És xantatge pur i dur. En el cas de l'Hospital Clínic, l'Agència de Ciberseguretat de Catalunya ja ha dit que no pensa pagar "ni un cèntim" a RansomHouse, que encara no s'ha posat en contacte amb l'hospital per demanar el rescat.

En declaracions a Públic, Marc Balcells, professor de Dret i Ciències Polítiques de la Universitat Oberta de Catalunya (UOC) especialitzat en crim i cibercrim organitzat, explica que normalment "l'objectiu d'aquests tipus d'atacs és econòmic". "Avui en dia, les dades són una moneda de canvi molt potent. No només es pot demanar un rescat per elles, també es poden vendre a tercers i treure'n un benefici econòmic", comenta Balcells.  

Delinqüència deslocalitzada

De moment, només sabem que darrere del ciberatac a l'Hospital Clínic hi ha RansomHouse, un grup criminal de hackers anònims que operen des de fora de l'Estat espanyol. En anglès, ransom vol dir rescat. Balcells comenta que probablement els seus integrants operen des de diferents països del món, però no sabem qui són. "El que sí sabem és que, pel tipus de ciberatac, segurament són més de dues persones, que utilitzen mitjans il·lícits per obtenir un benefici, que cadascuna té una tasca i que actuen de manera organitzada. Per tant, estem parlant de crim organitzat", assenyala. 

"És una delinqüència que perdura en el temps i deslocalitzada, un dels grans problemes del cibercrim organitzat", detalla Balcells. El que fa que sigui molt més difícil la seva detecció. "No sabem ni on estan ni des d'on actuen perquè el cibercrim online permet actuar des de qualsevol lloc del món. Aquesta és la gran diferència amb els delictes offline", explica.

El precedent de Colòmbia

L'historial de ciberatacs de RansomHouse és força curt, ja que el seu primer atac va ser a finals de l'any 2021 a l'empresa Saskatchewan Liquor and Gaming Authority (SLGA), del Canadà. Un dels més recents és el que van perpetrar el novembre passat a un altre sistema sanitari, el de Colòmbia. Els hackers van atacar el grup sanitari colombià Keralty, que gestiona deu hospitals i 56 centres d'atenció primària a Colòmbia, i les assegurances Colsanitas i EPS Sanitas. Administra la salut de més de cinc milions de colombians.

En aquest cas, RansomHouse va fer públic a través del seu canal de Telegram que van atacar la companyia colombiana per "protegir els usuaris". I és que el grup criminal té un doble discurs amb el qual justifiquen els seus atacs. Segons publica el portal especialitzat TechCrunch, s'identifiquen com "una comunitat de mediadors professionals" que té com a objectiu trobar les debilitats de seguretat dels sistemes informàtics d'empreses i institucions públiques. Però quan troben aquestes febleses, roben les dades privades i els extorsionen perquè els paguin a canvi de no publicar-les. 

RansomHouse també han hackejat empreses del sud d'Àfrica i les Filipines, entre d'altres. Tot i que l'Agència de Ciberseguretat de Catalunya que ha confirmat que l'atac al Clínic és obra d'aquest grup criminal, el cert és que RansomHouse encara no s'ha atribuït l'incident

Atac "sofisticat"

L'Agència de Ciberseguretat de Catalunya va assenyalar en la roda de premsa de dilluns que es tracta d'atac "sofisticat", que ha sorprès els experts per la manera com s'ha fet. Els experts destaquen que no segueix el modus operandi clàssic i que inclou "tècniques noves", per la qual cosa encara estan estudiant l'abast dels danys, en col·laboració amb els Mossos d'Esquadra i la Interpol. 

Balcells comenta que grups com RansomHouse "aprenen i tenen els mitjans i recursos per anar-se perfeccionant i fer atacs cada vegada més complexos". "Els ciberatacs aniran a més, però tampoc cal ser alarmistes". A Catalunya, cada any es produeixen al voltant de 1.700 milions d'atacs, el 98% dels quals s'aturen, mentre que uns 2.000 es transformen en problemes de seguretat.

Sobre si es poden evitar aquests atacs, Balcells comenta que qualsevol institució o individu està exposat al cibercrim. Les empreses cada cop inverteixen més en ciberseguretat, però no es pot prevenir al 100%.