Ransomware Rhysida: el grupo de ciberdelincuentes que atacó el sistema PAMI
El sector de salud a nivel global alcanzó un promedio de 1.744 ataques por semana, reflejando un aumento interanual del 30%. El ámbito de salud es el segundo más afectado por ataques de ransomware, con 1 de cada 27 organizaciones experimentando este tipo de ataques, lo que representa un aumento interanual del 16%.
En un escenario digital cada vez más vulnerable y amenazante, los ciberataques se han convertido en una preocupación crítica que desafía la seguridad de empresas e instituciones en todo el mundo. A nivel mundial, según el Informe Global de Ciberataques del segundo trimestre de 2023 realizado por Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies, los ciberataques han experimentado un alarmante aumento del 8%, alcanzando una cifra récord de 1.258 ataques por semana. Este incremento no es ajeno al ámbito de la salud, el sector se ha visto en alza con un promedio de 1.744 ataques por semana, reflejando un aumento interanual del 30%. En este contexto, el reciente ataque al PAMI, el Instituto Nacional de Servicios Sociales para Jubilados y Pensionados de Argentina, por el ransomware Rhysida, ha dejado en evidencia la amenaza latente que enfrentan las instituciones de salud en todo el mundo.
El grupo de ciberdelincuencia Rhysida, que emergió a fines de mayo de este año, no ha tardado en ganar notoriedad por sus ataques a gran escala. Dirigidos a objetivos en Latinoamérica, como el caso contra el ejército chileno, su enfoque se ha expandido hacia Europa y los Estados Unidos afectando a 17 hospitales y 166 clínicas, ataques por los que ahora es considerado una amenaza importante para el sector de la salud. Utilizando tácticas modernas, este grupo también es vinculado con Vice Society, uno de los grupos de ransomware más activos y agresivos desde 2021, principalmente dirigido a los sectores de educación y salud, y responsable del ataque contra el Distrito Escolar Unificado de Los Ángeles.
“La investigación exhaustiva de CPR, reveló las distintas tácticas, técnicas y procedimientos que utilizaron los atacantes. En esa línea, las cinco tácticas observadas incluyen movimiento lateral para lograr el control total de la red, el acceso a credenciales para lograr accesos como administrador, conexiones a command & control para mantenerse conectados, evasión de la defensa para evitar ser detectados y el impacto, que en este caso incluyo el cambio de contraseñas y el cifrado de todos los archivos sin posibilidad de restaurarlos”, explicó Alejandro Botter, Gerente de Ingeniería de Check Point para el sur de Latinoamérica.
¿Por qué atacan los sistemas de salud?
La atención médica ha emergido como un objetivo clave para los ciberdelincuentes, y las razones son claras. La naturaleza esencial de los servicios de salud, combinada con la gran cantidad de datos médicos confidenciales almacenados, crea una superficie de amenaza ideal para los atacantes. Además, las instituciones médicas a menudo utilizan una combinación de tecnologías nuevas y antiguas, lo que puede resultar en vulnerabilidades no resueltas, lo cual, sumado a la creciente incorporación de dispositivos en el entorno de atención médica, impulsada por el Internet de las Cosas, ha aumentado aún más la complejidad al introducir dispositivos que a menudo carecen de seguridad desde su diseño inicial.
De acuerdo con el mismo informe de Check Point Software Technologies Ltd. a nivel global, 1 de cada 44 organizaciones ha sufrido ataques de ransomware en el segundo trimestre de 2023, siendo el sector de Salud el segundo más afectado, con 1 de cada 27 organizaciones experimentando este tipo de ataques, lo que representa un aumento interanual del 16%. Asimismo, el sector de educación/investigación le siguió de cerca, con 1 de cada 31 organizaciones afectadas por ransomware. En América Latina, donde el panorama es igualmente inquietante con un incremento de ciberataques del 9% y un aumento del 18% interanual solamente en Argentina, tomar conciencia y medidas de seguridad es fundamental para evitar la propagación de este tipo de ciberataques como el que afectó el sistema PAMI.
El ataque al PAMI trajo consigo la interrupción de servicios vitales, afectando la atención médica y la tramitación de medicamentos y tratamientos. La dependencia de sistemas electrónicos se vio comprometida, llevando al instituto a autorizar temporalmente la prescripción de medicamentos a través de recetas en papel hasta que se recupere la funcionalidad completa del sistema. Situación que evidenció la necesidad de contar con herramientas sólidas de ciberseguridad y medidas preventivas en todas las instituciones de atención médica.
“En un mundo digital cada vez más peligroso, es clave adoptar medidas proactivas para protegerse de las amenazas cibernéticas. Algunas de ellas son el mantener el software actualizado, utilizar soluciones de seguridad confiables, realizar copias de seguridad regulares y educar a las personas en la organización. En un contexto en el que la ciberseguridad es esencial, el adoptar una estrategia basada en prevención primero y luego detección, se vuelve un pilar fundamental para contrarrestar las amenazas de grupos como Rhysida”, concluyó Botter.
