A través de un oficio secreto, la Agencia Nacional de Ciberseguridad (ANCI) envió una alerta a todos los servicios de salud y hospitales públicos del país, como consecuencia de un ataque en curso a una institución de salud, cuyos detalles no han sido revelados hasta el cierre de edición.
Mediante el documento —al que accedió la Unidad de Investigación de Bío Bío—, el organismo informó que habían tomado conocimiento de “actividad maliciosa sobre sistemas de Historial Clínico Electrónico (HCE) de servicios de salud que estarían siendo objeto de ciberataques”.
Si bien en una primera versión de este artículo se vinculó la comunicación reservada con la sistemática exhibición de datos médicos a través de la plataforma Rutify, que -por cerca de 48 horas- mantuvo un sitio web donde se podían consultar antecedentes de pacientes a partir de su RUT, lo cierto es que esa teoría fue descartada por la ANCI.
“[El oficio] hace referencia a un incidente de ciberseguridad en curso, que no tenía relación con la actividad de Rutify. Este hecho, de carácter reservado, sumado al contexto de casos identificados en el que se ha ingresado a sistemas mediante el uso de credenciales válidas, hizo que la ANCI diera las instrucciones del oficio reservado, cuyo contenido no reproduciremos por el riesgo que significa exponer públicamente las vulnerabilidades detectadas”, indicaron desde el organismo.
“Latente”
En el escrito de ocho páginas —firmado por la directora nacional subrogante de la ANCI, Michelle Bordachar Benoit— el organismo informó a todos los servicios de salud y hospitales públicos del país que habían tomado conocimiento de que éstos “estarían siendo objeto de ciberataques consistentes en exfiltración de información mediante el uso de credenciales válidas de usuarios, probablemente víctimas de filtraciones anteriores o de malware del tipo InfoStealer”.
En esa línea, añadieron que “en virtud de las investigaciones realizadas por el CSIRT Nacional [Equipo de Respuesta ante Incidentes de Seguridad Informática, por su sigla en inglés], la Agencia estima que el riesgo de ciberataques y especialmente de exfiltración de información mediante el mecanismo ya señalado es latente para el sector salud”.
De ahí que recordaran a través del escrito que un sistema puede verse expuesto a ser atacado si es accesible desde internet y si no tiene configurado un segundo factor de autenticación.
Instrucción inmediata
En consecuencia, amparándose en una facultad que les otorga la ley, la ANCI hizo llegar una serie de instrucciones particulares con el fin de mitigar el riesgo asociado a la amenaza detectada, impedir una eventual expansión hacia otros sistemas informáticos y prevenir nuevos episodios de características similares.
Por último, en el oficio enviado a los servicios de salud y hospitales públicos, la Agencia instruyó que, en un plazo máximo de 48 horas corridas, las instituciones remitieran información detallada sobre las plataformas tecnológicas que utilizan, con el objetivo de determinar el nivel de exposición del sistema público de salud frente a eventuales vulnerabilidades. El requerimiento incluye sistemas desarrollados internamente y también aquellos contratados a proveedores externos, tanto para funciones clínicas como administrativas y de gestión.
Según el documento, cada organismo debía informar las IP y dominios asociados a sus plataformas, las URL de acceso, la cantidad aproximada de usuarios con permisos y, en caso de existir servicios externalizados, identificar a los proveedores involucrados, el tipo de soporte prestado y la vigencia de dichos servicios.
La ANCI también advirtió que cualquier dificultad para cumplir con las medidas ordenadas debía ser comunicada en un plazo de 24 horas desde el despacho de la instrucción, mediante correo electrónico y explicando las razones que impedían o dificultaban su implementación.
En el mismo oficio, la Agencia recordó que el incumplimiento de estas instrucciones podría constituir una infracción a la Ley Marco de Ciberseguridad, haciendo hincapié en que los jefes superiores de cada organismo son personalmente responsables de adoptar medidas para prevenir, reportar y resolver incidentes de seguridad informática.
Finalmente, la entidad precisó que todos los antecedentes recopilados en el marco de esta instrucción tendrían carácter secreto y de circulación restringida, conforme a lo establecido en la legislación vigente.
Enviando corrección, espere un momento...
