Cuando los hackers recurren al chantaje

La seguridad de nuestra red es mala, decía el mensaje. Pero podemos ayudarlo con 100 000 en efectivo y aseguraremos que su pequeño hospital no sufra ningún desastre.

«Ridículo», se dijo Paul Layman al borrar el correo electrónico. «¡Las cosas que la gente trata de salirse con la suya en Internet!»

Paul, el CEO del hospital de Sunnylake, estaba comprobando tranquilamente su bandeja de entrada un viernes por la tarde cuando encontró el correo analfabeto de un remitente desconocido. Había llegado a Sunnylake cinco años antes con la visión de introducir tecnología de vanguardia en un pequeño hospital. Paul estaba convencido de que Sunnylake solo podría crecer si dejaba de lado los hábitos y procedimientos anticuados, y de que pasar de los registros en papel a los registros médicos electrónicos (EMR) mejoraría la calidad de la atención de los pacientes del hospital. Tras una búsqueda cuidadosa, Paul contrató a un joven serio llamado Jacob Dale como director de TI de Sunnylake, y los dos se esforzaron por ejecutar su visión.

El éxito de la iniciativa EMR transformó a Sunnylake de un centro de atención comunitario remanso a un modelo a seguir para los hospitales pequeños de todo el mundo. Todo el personal médico utiliza ahora lectores electrónicos para abrir los archivos de los pacientes. Al principio, muchos de los médicos se resistieron al cambio por temor a que la nueva tecnología desviara la atención de los signos y síntomas de los pacientes. Sin embargo, con el paso del tiempo, incluso los más devotos de la vieja escuela se vieron obligados a admitir que las EMR habían aumentado la eficiencia, por ejemplo, al comprobar automáticamente los errores de medicación y las interacciones entre los medicamentos.

El éxito rotundo convirtió al incipiente departamento de TI de Paul en una parte valiosa del hospital. El CEO consideraba que los EMR eran su legado, uno que sería muy útil para la institución en los próximos años.

La amenaza implícita en el correo electrónico no provocó ansiedad en Paul. Tenía mucha fe en Jacob, cuyas camisas confeccionadas a medida y su barba de Vandyke desmentían su energía agresiva. Mientras se desarrollaba el sistema, Paul insistió repetidamente en que la privacidad de los pacientes era fundamental. Jacob le había explicado de manera tranquila y exhaustiva que digitalizar los discos también los haría más seguros. Sin embargo, Paul estaba nervioso cuando el sistema se puso en marcha, pero los últimos tres años le habían calmado las dudas. A pesar de que sabía que ningún sistema de ordenador era perfecto, confiaba en que la red no corría ningún peligro real, especialmente por parte de un extorsionista que no dominaba las habilidades básicas de mecanografía.

Se olvidó del asunto durante el fin de semana. Pero a las 8:00 de la mañana del lunes recibió otro correo electrónico del mismo remitente con el asunto Nos lo advertimos. El campo del mensaje estaba en blanco.

El día más difícil de la carrera de Paul Layman estaba a punto de empezar.

Acceso denegado

«¡Tenemos un paciente que va a ser operado!» el médico ladró. «¡Necesito esos registros ahora!»

La becaria a la que gritaba apenas levantó la vista del dispositivo que tenía en las manos. Llevaba allí solo una semana, pensó el médico, y ya estaba demostrando su incompetencia. Apartó el lector de EMR de su lado e introdujo su código de acceso con impaciencia. La pantalla parpadeó Acceso denegado.

«¿Qué es esto?» gruñó. «¡Acabo de ver el historial de este paciente!»

IT había diseñado la red para que solo los médicos, enfermeras y administradores que los necesitaran pudieran acceder a los registros. Hoy, al parecer, algo ha ido muy mal. La becaria se puso de pie, con los brazos torcidos, sacudiendo la cabeza. Resistiéndose a las ganas de golpear el dispositivo contra una mesa, el médico irrumpió por el pasillo hacia el departamento de TI. Apenas se dio cuenta del grupo de enfermeras preocupadas en su puesto, o de los carritos de medicamentos vacíos que deberían haber estado circulando por la mañana.

En el centro del departamento, ocurrió en una escena inusual. Un grupo de médicos descontentos se había reunido frente a una sala acristalada en la que varios camareros zumbaban en las estanterías. Dentro de la sala, algunos tipos de TI trabajaron frenéticamente. A medida que el médico se acercaba, pudo ver que cada uno de sus colegas llevaba un dispositivo que mostraba el mismo mensaje: Acceso denegado.

Registros de Ransom

Minutos después, Jacob estaba en la oficina de Paul cuando llegó el tercer correo electrónico. En completo silencio, los dos se quedaron mirando la pantalla del ordenador de Paul. Apostamos a que quiere recuperar sus cosas. Probablemente debería haberlas protegido mejor. Por el pequeño precio de 100 000, haremos que desaparezca.

«¿Qué diablos pasa?» Exigía Paul. «Tengo médicos haciendo disturbios en los pasillos».

«Es algún tipo de ransomware que afecta a todo el sistema», murmuró Jacob. «En lugar de atracar a un par de personas por 50 dólares cada una, estos tipos están asaltando a toda la organización. Quieren 100 000 dólares para la herramienta de descifrado». Todo su equipo estaba trabajando para restaurar el sistema. La programación que normalmente solo permitía el acceso selectivo a los registros se modificó para no permitir ningún acceso. Incluso los administradores del sistema estaban excluidos.

«¿Cómo entraron en nuestro sistema?»

«Quizás a través de la máquina de un usuario individual», respondió Jacob. «Alguien aquí podría haber pensado que estaba descargando un software antivirus o actualizando una aplicación existente».

«¿Un idiota de nuestro personal podría haber causado todo este lío?» Paul se dio cuenta en un instante repugnante de que el departamento de TI de Sunnylake simplemente no era lo suficientemente grande ni sofisticado como para gestionar un problema tan devastador. Durante los últimos tres años, la seguridad tecnológica había avanzado significativamente, pero de alguna manera Sunnylake no había seguido el ritmo. Solo unos días antes, Paul confiaba en que era prácticamente imposible infiltrarse en el sistema. Ahora tenía que enfrentarse a la terrible realidad de que había estado demasiado débil desde el principio.

Había copias de seguridad de los registros completos en la red, para que la información de los pacientes no se perdiera por completo. Pero Sunnylake actualmente no tenía forma de entregar esos registros a los médicos que los necesitaban urgentemente para atender a los pacientes. El hospital estaba a punto de paralizarse.

Sunnylake no tenía forma de entregar los registros a los médicos. El hospital estaba a punto de paralizarse.

«Esto es…» Paul hizo una pausa, sin palabras. «Muy mal. Muy, muy mal». Miró a Jacob.

El director de TI entrecerró los ojos y su expresión era feroz. «¿Qué clase de baba hackea un hospital?» exigió a la pantalla. «¿No les importa hacer daño a los enfermos? Cree que ha visto lo peor, pero estas personas bajan cada vez más».

«Por lo que he oído, los hackers no siguen exactamente un código moral», dijo Paul, reprimiendo las ganas de gritarle a Jacob. «Deben haberse dado cuenta de que nuestra dependencia de estos registros nos hace particularmente vulnerables. Si cierra un sitio normal durante unas horas, es probable que la empresa pierda dinero. Quizás incluso mucho dinero. Pero si se lleva los registros de un hospital, el personal podría acabar perjudicando a los pacientes que tanto se esfuerza por proteger. Ya no es solo cuestión de dinero. Tenemos vidas humanas en juego».

«Mi gente está luchando contra esto con todo lo que tenemos», respondió Jacob a la defensiva. «Con tiempo suficiente, podemos recuperar el control del sistema. Luego, mejoraremos la seguridad para asegurarnos de que no vuelva a suceder nada parecido. Instalaremos un sistema de detección de infecciones basado en la red. De ahora en adelante, no basta con alejar a los intrusos».

«La pregunta es: Cuándo¿podemos ganar?» Dijo Paul en voz baja, conteniendo su frustración. «No podemos quedarnos sin registros por mucho más tiempo».

«Este es el equivalente digital del combate cuerpo a cuerpo», respondió Jacob. «Conocemos el sistema mejor que estas personas, pero tienen la ventaja de la sorpresa. Simplemente no puedo decirle cuándo vamos a ganar. No hay una solución rápida para un problema como este».

Paul asintió con la cabeza hacia la pantalla. «Nos han ofrecido una solución rápida», dijo.

«No está pensando seriamente en pagar a estos tipos, ¿verdad?» Preguntó Jacob con incredulidad. «Si pagamos una vez, seremos un objetivo para siempre. No lo haga. No está bien. Podemos derrotar a estos tipos, Paul. Deme un poco más de tiempo».

Una bomba que hace tictac

«Paul, tenemos que hacer que esto desaparezca», dijo Lisa Mankins, asesora legal principal de Sunnylake. Tenía el pelo recogido suavemente y vestía, como de costumbre, un austero traje pantalón, pero Lisa parecía que acababa de sufrir horas de tortura.

Tras el último correo electrónico de los hackers, IT había conseguido restaurar el sistema dos veces, solo para que se bloqueara minutos después. A pesar de los esfuerzos del departamento, explicó Jacob, los hackers seguían recuperando el acceso. La mayoría del personal empezaba a parecer agotado emocionalmente. El hospital había ordenado a todos los médicos que escribieran órdenes de enfermería y recetas en papel por el momento. Los médicos más jóvenes, que siempre habían confiado en las EMR, estaban desconcertados por el concepto. Incluso algunos de los más antiguos habían olvidado cómo tachar «500 mg de amoxicilina» de forma legible.

Paul había llamado a Lisa a su oficina para hablar sobre el control de daños.

«Nuestra exposición legal en este tipo de situaciones es alucinante», dijo. «Cuanto más dure esto, mayor será el riesgo. Literalmente, cada segundo es una carga. Los médicos recurren a registros antiguos en papel para los casos más urgentes, pero esos registros están muy anticuados. A principios de esta tarde tratamos a un paciente con un medicamento al que era alérgico. Por suerte, su reacción fue leve, pero puede que no tengamos tanta suerte la próxima vez».

«Nuestra exposición legal en este tipo de situaciones es alucinante», dijo. «Literalmente, cada segundo es una carga».

Lisa caminaba de un lado a otro delante del escritorio de Paul. «Tenemos que evaluar nuestras opciones. No me parece que la TI pueda solucionar este problema con la suficiente rapidez, si es que lo hace».

«Como me lo explicó Jacob, la TI necesita cierto tiempo para recuperar el control», dijo Paul. Llevaba toda la mañana intentando conservar su confianza en la habilidad de Jacob, pero estaba empezando a desaparecer. Cada vez que se restauraba el sistema, la esperanza se disparaba en el pecho de Paul, solo para volver a estrellarse cuando Acceso denegado reapareció en todas las pantallas.

«No tenemos ese tiempo», insistió Lisa. «Ya lo sabe». Tras un momento de silencio, volvió a hablar con la cara tensa. «Tenemos un presupuesto para este tipo de cosas, ya sabe. Un presupuesto para pérdidas aceptables. Tenemos un seguro que cubre los riesgos de TI y el dinero para pagar a estos tipos. Las demandas por mala praxis podrían costarle a este hospital cientos de miles de dólares solo en honorarios legales y, posiblemente, millones en daños y perjuicios. Cien mil dólares palidecen junto con las pérdidas a las que podríamos enfrentarnos si esperamos a que pase. Creo que es práctico —incluso moral— pagar el rescate. Cuanto más esperemos, más corremos el riesgo de perjudicarnos gravemente a nuestros pacientes y a nosotros mismos».

«No me gusta la idea», dijo Paul. «En absoluto. No tiene principios recompensar la extorsión. Solo alentaría a estas personas y tal vez llevaría a otros ataques a otros hospitales». Hizo una pausa. «Pero puede que sea todo lo que tenemos».

Lisa apenas había salido de su oficina cuando George Knudsen, el jefe de gabinete, irrumpió.

«¿Cuándo va a arreglar esto?» exigió. «¿Tiene alguna idea de lo que esto afectará a nuestra reputación si algún periodista se entera de ello?» George era un personaje canoso e intimidante en Sunnylake. Llevaba años ahí cuando Paul llegó y bien podría durar más que él. Los dos se habían enfrentado a la introducción de los EMR, pero se habían mantenido cordiales desde el éxito de la iniciativa. George tenía un aspecto cualquier cosa menos cordial ahora.

«Todo el mundo trabaja lo más duro posible», respondió Paul. «Ha sido duro para todos nosotros».

«No creo que sepa lo difícil que ha sido», dijo George con enfado. «No lo sabría a menos que tuviera que tratar a los pacientes mientras se preguntaba si realmente les está haciendo daño. No lo sabría a menos que tuviera miedo de incumplir su juramento solo porque un joven fanático de la informática pensara que su sistema es mucho más fuerte de lo que realmente es».

«George, ya sabe lo bueno que ha sido el sistema electrónico para este hospital», replicó Paul, alarmado por la furia del hombre mayor. «Usted mismo lo admitió».

«¡No sabía qué tipo de coste íbamos a pagar!» George rugió. «Está haciendo que todo su personal parezca incompetente, ¡o algo peor! El papel podía haber sido lento, pero era fiable. Si no lo arregla pronto, Paul, no volveré a tocar uno de esos malditos dispositivos. Y conozco a muchos otros aquí que sentirán lo mismo». Se fue acechando.• • •

Paul se tumbó boca arriba en el sofá de la sala de profesores, mirando fijamente al techo semiiluminado. Era la 1:00 de la madrugada. El equipo de TI seguía en el hospital, librando una ciberguerra con un adversario invisible. El patrón de una breve victoria seguida de una derrota continuó hasta bien entrada la noche. Jacob había probado todos los descifradores de Internet que podía encontrar; su equipo estaba desplegado por todo el hospital, escaneando los ordenadores en busca de pistas.

Paul apretó los ojos. No dejaba de ver imágenes cinematográficas de descifradores de códigos aliados luchando contra la máquina Enigma de los alemanes. La situación de Sunnylake parecía igual de urgente. Por más que lo intentara, no podía despejar la mente y dejarse dormir. Una culpa aplastante, un sentido de responsabilidad por todo lo que había pasado ese día, presionado sobre su pecho.

Incluso después de tres años de éxitos, durante los cuales el personal casi sin excepción llegó a apreciar la eficacia de los EMR, Paul podía recordar con claridad lo duro que había tenido que esforzarse para que se instalara y aceptara el sistema. A menos que pudiera resolver la crisis rápidamente, perdería todo el terreno que había ganado. Los médicos del hospital habían sido un grupo terco y resistente al principio, y George Knudsen no era el único que se ponía en modo «se lo dije». Puede que sea casi imposible conseguir que vuelvan a confiar en el sistema —o en él—.

Si pagara a los piratas informáticos —solo por esta vez—, Sunnylake podría hacer de la seguridad la prioridad número uno y asegurarse de que nada parecido volviera a suceder nunca más. Paul se dio la vuelta y suspiró. ¿De verdad estaba pensando en pagar dinero por extorsión a estos delincuentes?

¿Cómo debe hacer frente Sunnylake al ataque?

Por Gullestrup(pgu@clipper-group.com) es el presidente y director ejecutivo de Clipper Projects en Copenhague.

Por muy desagradable que parezca, yo sugeriría que el Hospital Sunnylake pague el rescate exigido por los extorsionadores. (Esto supone, por supuesto, que la amenaza es real y que existe un riesgo verificable para la salud del paciente). Puede que esa sea la única manera de que Paul Layman pueda evitar que los pacientes de Sunnylake sufran daños y evitar el enorme riesgo de responsabilidad que Lisa Mankins, la abogada principal, tanto teme.

¿Por qué lo recomendaría? Como CEO, tuve que enfrentarme a una situación similar en noviembre de 2008, cuando unos piratas somalíes del Golfo de Adén atacaron un barco de 15 millones de dólares que pertenecía al Grupo Clipper. Los piratas mantuvieron a sus 13 miembros de la tripulación como rehenes durante 71 días. Dirigí el equipo de respuesta a emergencias que se encargaba de garantizar la seguridad del barco y la tripulación.

Hacer frente a la extorsión no forma parte de la descripción del puesto de un director ejecutivo. En nuestro caso, los delincuentes tenían todas las cartas. Durante el enfrentamiento me enteré de que la piratería somalí es un negocio bien gestionado que incluye a varios actores e inversores. Aunque los piratas pueden hacer la vida desagradable a los rehenes, hacerles daño está fuera de discusión, eso sería acabar con el modelo de negocio de los piratas.

Los piratas sabían que el tiempo estaba de su lado. Si optamos por no pagar, simplemente se quedarían con el barco y la tripulación; su sistema perfeccionado facilita el reabastecimiento continuo del barco. (Aunque la ley danesa prohíbe pagar rescates a los terroristas, no hay nada que impida que el propietario de un barco pague a los piratas).

Ningún CEO puede resistirse indefinidamente a los constantes golpes de familiares desesperados, una prensa ansiosa y políticos exigentes; simplemente no es sostenible. Al final, no tuvimos más remedio que pagar los millones de dólares que pedían los piratas. (El seguro cubría el coste.)

En el caso de Paul, el primer paso y el más importante debería ser contratar a un negociador bueno y emocionalmente neutral que pueda abrir un diálogo con los hackers y mantenerlos involucrados en la conversación, de modo que es poco probable que hagan aún más travesuras.

El primer paso debería ser contratar a un negociador emocionalmente neutral que pueda iniciar un diálogo con los hackers.

A medida que avance el proceso, el negociador puede pasar información entre las dos partes, mientras el equipo de TI de Jacob Dale trabaja para que el sistema funcione y, luego, refuerza los planes de seguridad y emergencia que debería haber tenido en primer lugar. Mientras tanto, la policía y los especialistas forenses pueden intentar localizar a los delincuentes y poner fin a su empresa.

Una vez que las negociaciones están en juego, todo se convierte en una partida de ajedrez. El negociador y el equipo de emergencia pueden acordar las condiciones y la logística. Cuando se llega a un acuerdo, se deja caer el dinero y todo el episodio termina.

Otra pregunta es: ¿Qué pasa con los medios de comunicación? Hay muchas probabilidades de que los periodistas se enteren de alguna manera de lo que ha sucedido en Sunnylake. En nuestro caso, decidimos tratar con los medios de comunicación de manera muy directa para ayudar a crear conciencia sobre la amenaza que representan los piratas somalíes.

Si los armadores entienden la propuesta empresarial de los piratas y están dispuestos a llevar a cabo las duras negociaciones necesarias, estarán mucho mejor preparados para hacer frente a la amenaza. Durante el proceso de negociación, aprendimos mucho sobre a dónde va el dinero del rescate y cómo se utiliza, y las autoridades ahora están haciendo un buen uso de esa información.

Richard L. Nolan( rnolan2@u.washington.edu) ocupa la cátedra Philip M. Condit en la Escuela de Negocios Foster de la Universidad de Washington. Es coautor, con Robert D. Austin y Shannon O’Donnell, de Las aventuras de un líder de TI(Harvard Business Press, 2009).

Este caso es un ejemplo del tipo de ataque al que todas las organizaciones, pequeñas o grandes, son ahora vulnerables. Todas las organizaciones dependen de la tecnología; ninguna es inmune a las hordas de personas en todo el mundo que buscan generar disrupción en sus operaciones, a veces solo por diversión y, con frecuencia, por motivos malintencionados o para beneficio personal.

Esto significa que el CEO y el consejo de administración son responsables de «su buen juicio empresarial» a la hora de protegerse de la amenaza. El primer error de Paul fue descartar el mensaje de correo electrónico original. Todas las amenazas de TI deben tomarse en serio; si hubiera tenido su ingenio, se lo habría hecho saber a Jacob Dale de inmediato. No, el sistema de TI es «a prueba de balas».

Además, las organizaciones necesitan un plan para cuando no están seguras de hasta qué punto sus sistemas se han visto comprometidos. Sunnylake debería haber tenido un sistema de respaldo funcional y totalmente probado para garantizar un servicio ininterrumpido a los pacientes y proteger a todos los afectados. Los médicos y el personal de enfermería están capacitados para diagnosticar, resolver problemas y tratar a sus pacientes de forma dinámica. Los sistemas de TI facilitan, pero no sustituyen, el tratamiento de los pacientes. El hecho de que el hospital no tuviera instalado un software de seguridad actualizado, ni un subcontratista de seguridad fiable ni un plan de emergencia, es imperdonable.

Por muy grave que parezca, esta crisis es más fácil de gestionar que otras amenazas más vagas (como los programas de software tipo robot que alternan aleatoriamente entre inactividad y sabotaje o roban datos de los clientes), porque Sunnylake sabe que ha habido una intrusión: alguien parece haber cambiado la seguridad del acceso.

Entonces, ¿qué debe hacer Paul, el CEO? En primer lugar, más vale que se levante del sofá y pierda la vana esperanza de que la TI pueda restaurar el sistema y hacer que el hospital vuelva a funcionar. Cuando los hospitales de CareGroup, un equipo de profesionales de la salud del este de Massachusetts, sufrieron una situación similar en 2002, el CEO, el CIO, los médicos, el personal de enfermería y el personal de apoyo empezaron a funcionar igual que en la década de 1970, antes de que se instalara su sistema EMR integrado. Los profesionales que recordaban cómo era eso entrenaron a los que siempre habían dependido de los ordenadores. Como dijo John Halamka, el CIO, a su junta directiva: «La buena noticia es que la atención médica no se vio afectada».

Paul también debería estar en un modo de alta comunicación con todos sus electores. Debería entender que en el entorno de red actual no hay absolutamente ningún secreto. Cualquier violación de TI obliga a la organización a preguntarse: ¿Cuánto debemos revelar sobre esta amenaza? En esta situación, Paul tiene que dar información completa a sus diversos electores: los empleados, la junta, los pacientes y el público.

Paul tiene que dar información completa a sus diversos electores: los empleados, la junta, los pacientes y el público.

De ninguna manera debe aceptar las exigencias de los extorsionadores. No hay garantía de que no hayan incorporado más corrupción en el sistema. Hay que examinar el código línea por línea y limpiarlo a fondo. La infraestructura de red del hospital y otros sistemas de TI deben analizarse para detectar posibles daños y protegerse con un software de seguridad actualizado.

Por último, Paul tiene que aceptar el hecho de que puede perder su trabajo. Al fin y al cabo, es responsable de todos los recursos estratégicos del hospital, incluida la TI. La junta también debería rendir cuentas por la falta de supervisión estratégica.

El caso del Hospital Sunnylake ofrece una advertencia anticipada sobre un problema emergente muy grave para todos los directores ejecutivos y sus juntas directivas.

Peter R. Stephenson es el director del departamento de informática y el director de seguridad de la información de la Universidad de Norwich en Northfield (Vermont).

Si ha adornado las ventanas y puertas de su red con ajo, ha colgado espejos y crucifijos y lo ha salpicado todo con agua bendita en forma de firewalls, programas antivirus, etc., probablemente esté a salvo de los vampiros, los piratas informáticos o el malware. Pero en este caso, faltaban los preparativos para una brecha de seguridad y algún chicle —posiblemente alguien que compra por Internet desde un ordenador conectado a la red— puede haber dejado entrar al vampiro.

Lamentablemente, la seguridad de los datos es una idea tardía en muchos hospitales. Hace poco pasé por delante de un quiosco de información del hospital, que debía estar atendido por un voluntario. El ordenador estaba encendido, la pantalla iluminada, pero no había nadie cerca, una grave violación de la ley estadounidense que protege la privacidad de los pacientes.

En Sunnylake, el sistema sigue fallando porque los atacantes encuentran una nueva forma de entrar cada vez que se encuentra una solución. Esto puede deberse a que el malware —el malvado programa que facilitó la violación en primer lugar— ha transmitido un mensaje a los hackers para hacerles saber lo que están haciendo Jacob y su equipo.

Si Paul hubiera hecho saber al personal de TI en cuanto llegó el primer mensaje desagradable, podrían haber desconectado el sistema de Internet inmediatamente y asegurarse de que un programa deshonesto relacionado con el ataque no pudiera entrar desde fuera. Esto también habría bloqueado cualquier puerta trasera que hubieran creado los hackers.

Luego, deberían haber comprobado que los malos habían accedido realmente a la red. No es raro que un extorsionador envíe un mensaje amenazante con la esperanza de asustar al destinatario para que haga un payoff. Jacob y su equipo deberían haber comprobado los registros del sistema para ver si se habían producido cambios. Si hubieran reaccionado de inmediato, podrían haber evitado el segundo correo electrónico o nuevas penetraciones.

¿Cómo puede la TI arreglar la red? En primer lugar, los administradores del sistema tienen que recuperar sus contraseñas y recuperar el control. A riesgo de ponerse técnico, esto significa cerrar los servidores, eliminar de forma segura todos los discos del servidor borrando y sobrescribiendo con datos aleatorios, restaurar los servidores y los datos y asegurarse de que los programas de seguridad estén completamente actualizados y operativos. El departamento de TI necesita realizar un análisis de malware en todas las estaciones de trabajo del hospital, en caso de que el ataque se produjera a través del ordenador de un empleado. Aunque requiere mucha mano de obra, esta tomografía es de vital importancia.

El departamento de TI necesita realizar un análisis de malware en todas las estaciones de trabajo del hospital.

¿Qué hay de los extorsionadores? Los mensajes de correo electrónico ofrecen algunas pistas tentadoras sobre su identidad. El uso de la abreviatura «u» para «usted» sugiere a un joven o un extranjero con pocos conocimientos de inglés o a un aficionado que descargó el programa de ataque de Internet. También es posible que los malos sean muy inteligentes, y siempre es más seguro sobreestimar las habilidades de los hackers. Puede que ni siquiera sean «forasteros». Un empleado o paciente vengativo que pase por una estación de trabajo desatendida puede causar muchos daños. Antes de volver a conectarse a Internet, Sunnylake debería observar lo que pasa durante 24 horas. Si los atacantes son personas con información privilegiada que conservaron el acceso al sistema, puede que intenten entrar de nuevo.

Incluso si Paul contrata a un consultor de seguridad, que es una medida que yo recomendaría, es poco probable que el hospital encuentre a los atacantes. Aun así, el consultor puede ayudar a crear un perfil de los atacantes, mejorar la seguridad y formar al personal clave para que Sunnylake pueda protegerse en el futuro.