Uno de los centros de psicoterapia de la empresa Vastaamo en Helsinki (Finlandia).
Uno de los centros de psicoterapia de la empresa Vastaamo en Helsinki (Finlandia).
Ciberseguridad

Si no pagas publicamos tus sesiones de terapia: ciberchantaje a miles de pacientes en Finlandia

Un grupo de 'hackers' pide 200 euros a cada uno de los más de 2.000 usuarios de una clínica a cambio de no difundir las conversaciones con sus psicólogos

La pesadilla de muchas personas que revelan en sus sesiones de terapia sus sentimientos y pensamientos más íntimos se ha hecho realidad en Finlandia. Un grupo de hackers ha accedido a los registros de la empresa de salud mental Vastaamo, que administra 25 centros de psicología en el país nórdico, según reveló la semana pasada la policía finlandesa. Los ciberdelincuentes han tenido acceso a toda la información confidencial que cientos de pacientes comparten con sus terapeutas. A cambio de no hacer públicos los tratamientos y las conversaciones con sus psicólogos, los piratas informáticos piden a cada paciente 200 euros en bitcoins.

"Estamos investigando un delito de seguridad y extorsión, entre otros cargos", dijo Robin Lardot, director de la Oficina Nacional de Investigación de Finlandia, el fin de semana pasado, según recoge The Guardian. Lardot añadió que creían que el número de pacientes cuyos registros se habían visto comprometidos ascendía a decenas de miles. Más detalladamente, informó de que en la dark web, la zona de Internet oculta a los motores de búsqueda convencionales, había aparecido un archivo de 10 gigas que contenía notas privadas entre al menos 2.000 pacientes y sus terapeutas.

Aunque algunos datos ya se hayan filtrado, los ciberdelincuentes siguen chantajeando a los pacientes. “Con la publicación de una parte de los datos que han robado lo que los ciberdelincuentes están demostrando es que no están mintiendo, que realmente tienen la información que dicen tener”, explica Óscar Lage, experto en ciberseguridad de Tecnalia. “Es una estrategia habitual para presionar más a las víctimas”.

Las autoridades finlandesas han creado una web para las víctimas del ciberataque, donde les piden que no paguen el chantaje. Lage coincide con que esto es lo más aconsejable. “Cuando piden una cantidad tan baja es porque quieren que sea accesible para cualquiera, que la gente no se lo piense y pague”, explica el experto. “Pero nadie debería hacerlo. Lo que sucede cuando accedes a lo que te piden es que los ciberdelincuentes saben para qué persona es más importante la información, quién está dispuesto a pagar y quién no. Y es posible que, si les dan los 200 euros, les pidan más dinero”.

Además, nadie puede asegurar a los pacientes que los cibercriminales no vayan a filtrar la información aunque reciban el dinero. “Podrían haber vendido ya los datos a alguna empresa que quiera usarla para publicidad, por ejemplo”, señala Lage. "La información médica es de las mejor pagadas en la dark web”.

Cómo suceden este tipo de ataques

No han trascendido detalles sobre cómo se llevó a cabo exactamente el ataque, pero en estos casos, según la opinión de Lage, lo más habitual es que los cibercriminales envíen correos electrónicos con un troyano —un programa malicioso que se camufla como software inofensivo— para robar los datos de esta empresa en concreto, lo que se conoce como spear phishing.

Una vez que alguno de los trabajadores abre un correo electrónico malicioso, los ciberdelincuentes pueden acceder a la información que se guarda en el equipo, propagarse por otros ordenadores e incluso llegar a secuestrarlos. “Los correos maliciosos que se envían con este tipo de ataques tienen una tasa de apertura más alta de lo habitual porque están muy personalizados”, explica Lage. Una vez que tienen acceso a la información de los pacientes, proceden a intentar chantajearlos.

Tras hacerse público el ataque, Vastaamo, la empresa de salud mental, dijo que había iniciado una investigación interna y que se había verificado la seguridad actual de su base de datos. Señaló que se cree que el robo real ocurrió hace dos años. "Según la información actual, no se han filtrado datos desde noviembre de 2018", declaró el presidente de la firma, Tuomas Kahri, al periódico Helsingin Sanomat. En este tipo de acciones, los cibercriminales suelen estar entre 100 y 200 días de media recopilando información.

El efecto sobre la salud de las víctimas

El hackeo, dirigido a algunas de las personas más vulnerables de la sociedad, incluidos niños, ha causado una conmoción generalizada en el país nórdico. Los ministros se reunieron el domingo pasado para discutir cómo apoyar a los pacientes cuyos datos se habían filtrado y algunas empresas privadas de ciberseguridad están intentando interceder. Mikko Hyppönen, de la firma de seguridad de datos F-Secure, anunció en un tuit que su empresa estaba dispuesta a rastrear los pagos que ya se habían hecho para intentar devolver el dinero a las víctimas.

La peculiaridad de este ataque es que, además de extorsionar a los pacientes, también pone en riesgo su salud mental. Los afectados, angustiados, inundaron los servicios de apoyo que las instituciones habían puesto a su disposición al conocerse la filtración. La angustia por pensar que sus pensamientos más íntimos están al alcance de cualquiera en la web genera sentimientos de estrés y ansiedad muy elevados que pueden agravar sus dolencias o los trastornos por los que estaban yendo a terapia, según explica Julia Vidal, psicóloga sanitaria y directora de la clínica Área Humana.

“La consulta es un lugar seguro e íntimo, y la confianza de que lo que se trata allí es confidencial y de que nadie va a saberlo o juzgarlo es básica para establecer una buena relación entre el terapeuta y el paciente”, explica Vidal. “Si esa confianza desaparece, la terapia se ve muy afectada. Un robo de datos confidenciales de los pacientes es un problema realmente grave”.

Vidal está especialmente sensibilizada con la ciberseguridad: “El ataque que ha sucedido en Finlandia me reafirma en lo importante que es invertir en la ciberseguridad de los pacientes. Hoy ha sucedido allí, pero hay que estar preparado por si llega a suceder aquí. No hay fronteras en Internet”.

Retina

25/11/2020
02

Peugeot VLV: el abuelo de los coches eléctricos

El Peugeot VLV se lanzó en 1941 ante la escasez de combustible. Con 80 kilómetros de autonomía y recargable en cualquier enchufe, mostró hace 80 años el camino que sigue hoy la industria.

Peugeot VLV: el abuelo de los coches eléctricos
‘Digisexuales’, cuando tu pareja es un robot
09

‘Digisexuales’, cuando tu pareja es un robot

La vida erótica de la sociedad digital pasa por llevarse a la cama todo tipo de ‘gadgets’, desde las muñecas sexuales hiperrealistas a los ‘sextoys’ de última generación. Algunos van más allá y prescinden del encuentro con humanos confiando a un robot toda su vida íntima. Autónomos o no, la civilización post-Satisfyer no concibe el sexo sin máquinas.

Normas