Los delincuentes filtraron 4,5 terabytes de información identificativa y la Autoridad Catalana de Protección de Datos considera que el centro barcelonés no realizó un «análisis de riesgo».
El 5 de marzo de 2023, el Hospital Clínic de Barcelona fue víctima de un ciberataque que resultó en el robo de 4,5 terabytes de datos confidenciales, que incluían información identificativa y asistencial de pacientes, empleados y proveedores. Los delincuentes responsables del ataque publicaron parte de esta información en la Dark Web y demandaron más de cuatro millones de euros para evitar una filtración masiva, la cual finalmente ocurrió cuatro meses después.
La Autoridad Catalana de Protección de Datos (APDCAT) investigó el incidente y concluyó que el Clínic no contaba con medidas de seguridad mínimas para prevenir ciberataques y tampoco había realizado un análisis de riesgo necesario para definir tales medidas, pues no estaba integrado en la Agencia de Ciberseguridad de Cataluña, a pesar de existir un plan para ello. El hospital Clínic había iniciado la integración en dicha Agencia a principios de 2023, más de un año después de que el organismo público creara en septiembre de 2021 un plan de protección específico para el sistema sanitario. Su proceso de incorporación comenzó pocas semanas antes de sufrir el ciberataque. La APDCAT atribuyó al Clínic el incumplimiento de sus obligaciones como responsable y encargado del tratamiento de datos, y le requirió adoptar medidas correctoras y acreditar su cumplimiento.
El ataque afectó no solo al Hospital Clínic, sino también a sus entidades vinculadas, como el Consorcio de Atención Primaria de Salud Barcelona Esquerra (CAPSBE), la Fundación de Investigación Clínic Barcelona-Instituto de Investigaciones Biomédicas August Pi y Sunyer (FRCB-IDIBAPS), y Barnaclínic, el ala privada del centro. Los ciberdelincuentes filtraron de madrugada los datos robados, aunque no el total de la información sustraída. La falta de medidas de seguridad adecuadas llevó a la desprogramación de cirugías y visitas, y obligó al hospital a realizar seguimientos manuales de los pacientes, lo que complicó el acceso a sus historiales. Además, el Clínic tuvo que cambiar 8000 contraseñas e instalar el sistema de la doble autenticación.
A finales de abril de 2023, la APDCAT inició una actuación de oficio para evaluar si las entidades afectadas habían incumplido la normativa de protección de datos. El informe concluyó que ni el Clínic ni las otras entidades implicadas adoptaron las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad suficiente. Aunque la sanción no es económica para el Clínic, por ser una entidad pública, sí lo es para Barnaclínic, que ha impugnado la resolución.
Fuentes:
https://elpais.com/espana/catalunya/2024-11-07/la-generalitat-concluye-que-el-clinic-no-tenia-medidas-de-seguridad-minimas-para-contener-el-ciberataque-de-2023.html
https://elpais.com/espana/catalunya/2023-04-08/ciberataque-en-el-clinic-por-que-el-hospital-no-estaba-integrado-en-la-agencia-de-ciberseguridad-si-existia-un-plan-para-ello.html
https://elpais.com/espana/catalunya/2023-03-30/los-ciberdelincuentes-filtran-de-madrugada-datos-robados-del-hospital-clinic.html
https://elpais.com/espana/catalunya/2023-03-05/el-hospital-clinic-de-barcelona-victima-de-un-ciberataque-que-afecta-a-las-urgencias-el-laboratorio-y-la-farmacia.html
░ Imagen de Anna Shvets en Pexels