suben archivos robados con historias clínicas e información de afiliados, políticos y famosos


El grupo de ciberdelincuentes Lockbit publicó casi 140 GB de información interna robada a OSDE mediante un ransomware, entre los que se encuentran archivos con referencias a historias clínicas, datos personales de afiliados y documentos con nombres de personajes públicos.

La prepaga había reconocido un ataque informático el 27 de junio y al poco tiempo se supo que habían sido víctimas de Lockbit, una de las bandas más grandes de cibercriminales de la actualidad. El ransomware es un tipo de programa que secuestra archivos, los encripta y demanda dinero a cambio. Este martes, luego de realizar pericias técnicas y análisis forenses, OSDE presentó una denuncia penal.

Vencido el plazo, los ciberdelincuentes, que pedían 300 mil dólares, publicaron la información el viernes pasado. Además, dejaron a su paso un gran dolor de cabeza para el equipo de sistemas de la compañía, que todavía trabaja en el incidente.

“Entre los 140 GB de datos filtrados podemos encontrar información sensible: hay archivos que hacen referencias a fragmentos de historias clínicas, estudios médicos, listados de pacientes, resultados de pruebas PCR e información médica absolutamente privada e íntima, como enfermedades graves y tratamientos”, explicó a Clarín Mauro Eldritch, analista de amenazas.

En cuanto a los usuarios damnificados, contó el experto: “Se filtraron unas copias escaneadas de DNI, datos y gestiones de Personas Expuestas Políticamente (PEP), entre los cuales hay políticos, periodistas y famosos, además de familiares de ellos”.

Osde, atacada por un ciberataque. 
Foto German Garcia Adrasti


Osde, atacada por un ciberataque.
Foto German Garcia Adrasti

También hay datos internos de la empresa: “Hay información salarial de empleados, gestiones de tesorería, direcciones de email de pacientes y empleados, procesos legales (juicios, reclamos), archivos de auditoría, acuerdos con grandes farmacéuticas y varias bases de datos”.

Por último, hay “algunos usuarios y claves de sistemas internos y bancarios”, cierra Eldritch.

Vale aclarar que Lockbit es uno de los pocos grupos de ransomware que ataca instituciones relacionadas a la infraestructura de salud (junto a Hive -los que hackearon a Artear-, o Vice Society -los que atacaron al Senado a principio de año-). Otras bandas de ciberdelincuentes no afectan servicios sanitarios ni de transporte.

Clarín se contactó con OSDE, que reforzó el comunicado emitido el 27 de junio, reproducido a continuación:

Osde, víctima de un ciberataque: el comunicado que emitió la empresa a fines de junio.


Osde, víctima de un ciberataque: el comunicado que emitió la empresa a fines de junio.

Por qué estos hackeos impactan en los usuarios

Las “brechas de seguridad” (data breach) son ataques en los cuales los ciberdelincuentes roban información y datos internos, sean de empresas o usuarios. Muchas veces se realizan a partir de hackeos por descuidos de las empresas, otras, por “insiders” (topos) que pasan información y credenciales de acceso desde dentro.

Este tipo de incidentes ponen en riesgo la seguridad de los implicados, ya que los datos sustraídos pueden usarse con múltiples fines delictivos.

“Como no perciben un riesgo tangible, los usuarios suelen subestimar el problema y minimizar las consecuencias de una brecha de seguridad, sin saber que pueden quedar expuestos datos que jamás darían voluntariamente”, explica a Clarín Miguel Sumer Elías, abogado especialista en ciberdelitos y director de Informática Legal.

Entre estos datos destaca “identificación personal, contraseñas, datos biométricos, información financiera y bancaria, tarjetas de crédito y débito, datos de salud, secretos comerciales, propiedad intelectual, archivos, documentos e información sensible de sus dispositivos o redes”.

El robo de datos, un problema cada vez más común. Foto Pexels


El robo de datos, un problema cada vez más común. Foto Pexels

Esto impacta también en el ámbito corporativo: “Las violaciones de datos son muy costosas para las organizaciones, con costes directos en reparación, e investigación; e indirectos, por daños a la reputación, dar apoyo a las víctimas de los datos comprometidos y demás”.

De hecho, las empresas están obligadas a informar públicamente la naturaleza de la información comprometida, según la resolución 47/2018 de la Agencia de Acceso a la Información Pública (AAIP).

“Ante una violación en la seguridad de los datos una compañía deberá reforzar las medidas técnicas con el fin de evitar nuevas violaciones, informar de manera urgente a las personas afectadas, notificar a la autoridad de control en materia de protección de datos personales y, si la empresa cotiza en bolsa, se deberá, además, informar a sus inversores y accionistas”, agrega el especialista.

Lockbit, los hackers que irrumpieron en los datos de OSDE

El aviso que deja Lockbit cuando encripta archivos. Foto: Mauro Eldritch


El aviso que deja Lockbit cuando encripta archivos. Foto: Mauro Eldritch

Lockbit es una de las bandas de cibercriminales más grandes de la actualidad. Entre sus víctimas más resonantes por estas latitudes este 2022 se encuentra Ingenios Ledesma.

Como todas las que operan con ransomware, tienen su propio programa para encriptar datos. Una vez que logran robar información y notificar a sus víctimas, ofrecen “soporte técnico”, es decir, una ventana de negociación para hacer cumplir sus exigencias monetarias, generalmente en criptomonedas para no ser rastreados. Según allegados a la empresa, OSDE no llegó a negociar.

Si la negociación es exitosa, entregan un “decrypter”, es decir, un programa para destrabar el acceso a la información robada. Mantienen una lista de víctimas en su página oficial, solo accesible mediante la dark web, una porción de internet dedicada en gran parte al ciberdelito.

«Lockbit es probablemente el mayor actor de amenazas de ransomware hoy en día. No sólo es el grupo de mayor impacto, sino que es el primero en su tipo en ofrecer recompensas tanto por la identificación de miembros clave de su equipo (hasta 1 millón de dólares) como por agujeros de seguridad o bugs en su plataforma (el primer bug bounty en el campo del ransomware)”, detalla Eldritch.

A mediados de julio lanzaron una nueva versión de su sitio, la 3.0, donde permiten navegar archivos dentro de la página con un explorador propio, incluso sin haber descargado la información.

Sus métodos de encriptación de datos están considerados de los más rápidos y eficientes del mundo.

PJB

Mirá también