SEGURETAT A INTERNET

Dades sanitàries: el gran botí de la ciberdelinqüència

Segons el Cesicat, entre el gener i el març 2.700 milions de dades han estat exposades, el doble que tot el 2018

El gener del 2018 les autoritats sanitàries del sud-est de Noruega van admetre l’existència d’una escletxa de seguretat en la seva pàgina web que hauria facilitat que uns hackers tinguessin accés a dades de més de 2,9 milions de ciutadans. A principis d’aquest any un forat en la base de dades Breed Ready deixava exposades les dades mèdiques de gairebé dos milions de dones xineses classificades pel seu potencial per ser mares. Són només alguns dels casos més recents de la filtració, robatori i comercialització de dades sanitàries presents a la xarxa a tot el món. Entre el gener i el març d’aquest any, segons l’últim informe de tendències de ciberseguretat del Centre de Seguretat de la Informació de Catalunya (Cesicat), al qual ha tingut accés l’ARA, a tot el món 2.700 milions de dades personals han quedat exposades a la xarxa, principalment per errors de configuració. És el doble que en tot el 2018 -el total de dades exposades aquell any va ser de 1.300 millons-. L’exposició d’aquestes dades ha permès que es robessin i venguessin més de 860 milions de dades personals. Un 30% són dades sanitàries.

Un dels motius que expliquen l’increment de l’exposició de dades -sanitàries i de tot tipus-és la fuita que va patir l’empresa de verificació de correus electrònics d’Estònia Verifications.io en quatre bases de dades que sumaven 2.200 milions d’usuaris i contrasenyes, cosa que suposa l’escletxa més gran a la xarxa de la història. L’informe del Cesicat se centra únicament en el primer trimestre de l’any però els últims ciberatacs fets públics constaten la tendència a l’alça del fenomen. Per exemple, la ciutat americana de Baltimore, el municipi amb més població de l’estat americà de Maryland, va tenir entre el maig i el juny la xarxa governamental segrestada per uns hackers que demanaven 100.000 dòlars en bitcoins per alliberar les dades. Els serveis essencials -policia, bombers o hospitals- no es van veure afectats, però els ciutadans no podien pagar les factures, els correus electrònics oficials no funcionaven i els funcionaris no podien treballar. Les autoritats es van negar a pagar però s’estima que l’atac els va costar uns 18 milions de dòlars en pèrdues.

Dades valuoses

A qui interessen i per què les nostres dades sanitàries? Amb elles es pot arribar a crear una identitat falsa i operar-hi, estafar les asseguradores o extorsionar-les a canvi de la no difusió o comercialització d’aquesta informació. Segons l’informe del Cesicat, el mercat sanitari suposa un “pol d’atracció” constant per als ciberdelinqüents. Només als Estats Units, aquest primer trimestre de l’any s’han identificat 96 fuites de dades en el sector que han afectat 3,5 milions de persones, explica l’informe, que assenyala que això suposa triplicar el nombre de persones afectades el primer trimestre del 2018, que era d’1,1 milions. “Com més rellevants són les dades més valor tenen. El meu DNI no diu tant de mi com el meu historial o el medicament que em prenc”, explica el director del Cesicat, Oriol Torruella.

Les dades sanitàries són molt preuades a la dark web, la internet fosca, a la qual no tenen accés els cercadors, perquè són especialment útils en delictes de suplantació d’identitat, frau financer o xantatge, explica l’informe. Torruella posa un exemple pràctic a l’hora d’entendre com funciona l’extorsió que practiquen els ciberdelinqüents amb aquest tipus d’informació. “Si algú et diu «Paga’m 100 euros o donaré el teu número de la Seguretat Social», segurament ningú els pagarà, però en canvi si l’amenaça és explicar, per exemple, que algú pateix una malaltia de transmissió sexual que té tot el dret a no fer pública, la pressió serà molt més forta”. El preu a la internet fosca de les dades sanitàries pot arribar a multiplicar per deu el de les dades bancàries.

La gran via d’extorsió, però, són les empreses i les administracions que acaben pagant per recuperar la informació que havien d’haver protegit. Recentment, un atac de ransomware va xifrar les dades mèdiques de gairebé 400.000 pacients de l’organització de salut Columbia Surgical Specialists (EUA). L’organització va pagar gairebé 15. 000 dòlars per recuperar-les, ja que no podien accedir als informes mèdics dels pacients que havien d’operar aquell mateix dia.

Errors de configuració

L’informe del Cesicat recull els atacs cibernètics que més ressò han tingut a nivell mundial, però Torruella recorda que “Catalunya no és una excepció” i les empreses i els usuaris estan tan exposats com els de la resta del món. De fet, tot i la importància dels ciberatacs i robatoris, segons l’informe del Cesicat la gran amenaça són els propis errors de configuració que cometem els ciutadans i les mateixes empreses de serveis. La gran majoria dels 2.700 milions de dades exposades durant aquest primer trimestre de l’any no estaven prou protegides i això ha facilitat, segons l’informe del Cesicat, el robatori i la venda de fins a 860 milions de dades. L’exemple més clar és la publicació de la pàgina web Have I Been Pwned? Els responsables de la web van obtenir d’un fòrum criminal el grup de bases de dades Collection #1’, que contenia 773 milions d’adreces de correu electrònic, i les han publicat perquè tothom pugui saber si el seu compte està compromès. Gairebé 36.000 registres amb correus electrònics i contrasenyes identificats corresponien a dominis .cat de Catalunya.

L’informe destaca que aquesta situació es podria evitar “si tots els responsables de bases de dades emmagatzemessin les contrasenyes xifrades”, cosa que evitaria que els ciberdelinqüents en fessin ús. També recomana als usuaris “utilitzar contrasenyes més complexes” i evitar-ne la “reutilització”. Segons Cornudella, a Catalunya, com a la resta del món, les empreses i els usuaris no fan prou els deures. “Cal tenir la consciència que cada cop que ens registrem en una web li estem explicant coses d’un mateix”, recorda. Per això recomana primar la seguretat per sobre de la comoditat i optar per contrasenyes més complexes i variar-les, en el cas dels usuaris, i per xifrar les bases de dades en el cas de les empreses. “Cal una política de seguretat més activa a tots els nivells”, conclou.

EDICIÓ PAPER 17/08/2019

Consultar aquesta edició en PDF