ISP de "rehén": el hackeo que golpea a industria farmacéutica y el fantasma de la filtración de datos

El Ministerio Público investiga el hackeo sufrido por el Instituto de Salud Pública (ISP) hace ya 26 días, un ciberataque que mantiene a las bases de datos de la institución en calidad de rehén.

Las alarmas se encendieron el pasado 27 de junio, cuando —según información recabada por el organismo— un ataque informático proveniente de Reino Unido dejó sin funcionamiento y puso en riesgo a los servidores y dispositivos de almacenamiento del ente encargado de proteger y promover la alud de la población mediante la vigilancia, autorización, fiscalización e investigación.

A partir de entonces, el ISP ha intentado —sin resultados— calmar los ánimos de las industrias farmacéutica y cosmética, las mismas que hoy expresan su disconformidad ante la falta de respuestas.

Migración forzada

Según cuentan quienes utilizan frecuentemente las plataformas del Instituto, éstas permiten realizar numerosos trámites que son clave para el rubro. Sin ir más lejos, a través del hackeado sitio web del organismo se solicitan registros sanitarios, se visan las internaciones de productos y se gestionan autorizaciones de importación, venta o uso provisional de dispositivos médicos, entre otros cientos de diligencias.

“Avisaron que está todo funcionando y crearon otro sistema, pero nada funciona”, cuestionan participantes del sector en privado.

Y es que, de acuerdo a los mismos consultados, uno de los sistemas más afectados por el ciberataque corresponde al Gestión de Información y Control de Normas (GICONA), una antigua plataforma que servía precisamente para que personas naturales o jurídicas canalizaran sus trámites.

En su reemplazo, el ISP se vio forzado a poner en plena marcha un sistema que venía implementándose en el corto plazo: el SAFIS. El principal problema, dicen fuentes de este medio, es que ese sitio no cuenta con la capacidad de realizar todos los procedimientos de su antecesor.

Ejemplo de ello es que la propia página web de la institución registra un banner con los trámites que actualmente no se pueden realizar.

“Próximamente”, se lee sobre cada uno de ellos.

Voz de alerta

Jorge Cienfuegos Silva es el presidente del Colegio de Químicos Farmacéuticos y Bioquímicos de Chile. El profesional —en conversación con BBCL Investiga— cuestiona justamente la falta de información para los usuarios, especialmente en cuanto a los plazos que tardará la normalización de los servicios y respecto de la magnitud de los datos a los que accedieron los hackers.

“El gran problema es que si cambias las ruedas de un tren andando, la posibilidad de que se descarrile es alta”, ejemplifica Cienfuegos, al ser consultado respecto de si el ciberataque pudiera significar un riesgo para la salud de las personas.

En esa línea, el líder gremial asegura que el ISP maneja un amplio espectro de datos sensibles. Tanto desde “el punto de vista sanitario, que tiene que ver -por ejemplo- con información de pacientes de VIH”. O, “desde el punto de vista también industrial”, puesto que para “poder comercializar un medicamento en Chile se requiere tener un registro sanitario”. “Eso también es información muy sensible”, afirma.

“Uno no alega por lo que ocurrió, sino que en el fondo cómo se aborda, que es distinto. Porque es posible que uno pueda recibir un ataque informático. De eso, hoy día, nadie está libre… ni el Pentágono de Estados Unidos. No le podemos exigir al ISP que que eso no exista. Pero sí, por ejemplo, las señales de transparencia correspondientes”, sentencia.

Por su parte, el CEO de la firma de ciberseguridad Resility, Patricio Campos, sostiene que situaciones como estas no son hechos aislados, sino de un reflejo de las vulnerabilidades estructurales y de una débil continuidad de políticas públicas en esta materia.

“Los organismos del Estado suelen ir más atrás que las empresas privadas en términos de tecnología. No por falta de capacidad, sino por procesos más lentos, licitaciones, cambios de administración cada cuatro años, prioridades que se desvanecen entre gobiernos. Eso impide que haya un verdadero lineamiento de Estado”, afirma.

Sobre las fórmulas utilizadas por los hackers en sus ataques, subraya que el factor humano es un eslabón crítico de la cadena.

“Muchas veces es el propio usuario quien cae en una estafa, descarga un archivo desde un sitio pirata o comparte claves por teléfono. Eso se conoce como ingeniería social. Y hoy, con tecnologías como la inteligencia artificial, ya vemos la creación de audios o videos falsos, que pueden simular a una persona real para extorsionar o robar datos”, plantea.

Datos en peligro

Según información recabada por BBCL Investiga, tras el ataque, el Instituto inició una revisión interna, cuyos resultados preliminares —tal como se adelantó— arrojaron que éste provino desde Reino Unido. De acuerdo a esa misma auditoría, todo se habría originado por un ramsonware. Es decir, un software malicioso que retiene como rehenes a los datos confidenciales del organismo atacado.

Por lo general, quienes lanzan estas ofensivas informáticas, solicitan un pago en criptomonedas a cambio de devolver el acceso a la información. En otros casos con peores consecuencias estos son ofrecidos al mejor postor en la deep web.

Cuando no hay interesados, éstos incluso llegan a ser liberados de manera gratuita, para el acceso público, tal como ocurrió con el hackeo que sufrió el Ejército en mayo de 2023.

Sea como sea, los hallazgos del ISP derivaron en una denuncia presentada ante el Ministerio Público, desde donde ordenaron a la Brigada del Cibercrimen de la PDI realizar las primeras diligencias.

La causa quedó a cargo del fiscal jefe del Sistema Análisis Criminal y Focos Investigativos (SACFI) de de la Fiscalía Regional Metropolitana Oriente, Marcelo Vargas.

ISP responde

Consultado el ISP, indican que “ya están disponibles 100 prestaciones, las que irán incrementándose. De modo presencial se han seguido cursando todas las solicitudes”.

Según cuentan en el Instituto, no se han detenido los procesos y se han tomado las medidas que permiten mantener los servicios que entrega el ISP, “ya sea ampliando plazos o dando facilidades en tanto se reponen las prestaciones”. También existen un sumario administrativo en curso.

—¿Hay datos u antecedentes, de pacientes con VIH o relacionados con vacunas, por ejemplo, que se hayan perdido u extraviado como consecuencia del ataque informático?

“Los datos están en el ISP, y de momento no se han reportados filtraciones de los datos de personas”, respondieron.

—¿En simple, para qué se usaba el sistema GICONA? ¿Quedó obsoleto u offline para siempre?

“En el sistema GICONA se realizaban los trámites referentes a registros sanitarios. La información que se tiene se está migrando al sistema SAFIS”.

—¿Qué se hizo para recuperar el funcionamiento y qué medidas se adoptaron para evitar que se repita una situación como esta?

“El ISP instruyó internamente, la priorización de trámites urgentes, como los que dicen relación con recepción de muestras, trasplantes, controles de serie, registros, exención control de calidad, otros. Las medidas específicas están disponibles en el instructivo 1, que se adjunta. Se trabaja a la vez, en la recuperación de la información de respaldo y su migración a los nuevos repositorios”.

—¿Hay una estimación sobre cuáles fueron (o están siendo) las consecuencias (retraso en autorización de medicamentos o productos u otros efectos) del ciberataque en el corto y mediano plazo tanto para la industria farmacéutica como cosmética?

“La contingencia tiene implicancias que hemos buscado aminorar para no afectar a la salud pública. No se han detenido los procesos y se han tomado las medidas que permiten mantener los servicios que entrega el ISP, ya sea ampliando plazos o dando facilidades en tanto se reponen las prestaciones. Las solicitudes, que puedan ser urgentes, se están evaluando y resolviendo”.

—¿El ISP sabe quién o quiénes estuvieron detrás del ataque informático? ¿Presentaron o presentarán una querella u otro tipo de acción judicial?

“El tipo de hackeo corresponde a un Ransomware. Cuando se realizó el ataque cibernético el día viernes 27 de junio, el ISP se contactó de inmediato con autoridades clave: la Agencia Nacional de Ciberseguridad (ANCI) y ese mismo día se presentó la denuncia formal ante el Ministerio Público para iniciar la investigación. La Policía de Investigaciones (PDI) visitó el ISP para comenzar sus propias diligencias. También se inició el sumario respectivo”.