El Grupo Rossi, que nuclea los centros médicos Rossi, Stamboulian y Laboratorio Hidalgo, sufrió un ciberataque de ransomware hace 10 días que paralizó los sistemas, bajó los sitios web e impidió a pacientes hacerse estudios y sacar turnos. Este martes presentaron una denuncia y, según el CEO de la empresa, no se pagó el rescate de la información a los cibercriminales y “no se comprometieron datos de los pacientes”.
La aclaración es porque el ransomware es un tipo de ataque mediante el cual grupos de atacantes acceden a sistemas de una empresa o institución, encriptan la información y piden un rescate en criptomonedas a cambio. La segunda parte de la extorsión es amenazar con filtrar la información a la que se tuvo acceso, como le sucedió a OSDE en 2022. Grupo Rossi trabaja con estudios médicos, laboratorio y vacunación con una gran cantidad de pacientes.
Los grupos de ransomware suelen dar un tiempo para la publicación de la información, pero en este caso, según la empresa, no tuvieron registro de esta mecánica. “No dieron un plazo y, por recomendación de las autoridades judiciales que intervienen en la causa penal iniciada inmediatamente luego del incidente, no entramos a ninguna negociación”, explicó Omar De Fornari, CEO de Grupo Rossi, a Clarín.
Según De Fornari, los turnos e informes están funcionando, pero en Hidalgo no hay atención y en Rossi no funciona el laboratorio, pero aseguran que sí hacen resonancias, tomografías y ecografías. Esperan resolverlo en 48 horas. «Resonancia, tomografía, radiología, ecografía, mamografía, punciones bajo ecografía, PET-CT, medicina nuclear y neumonología se encuentran restablecidos», confirmaron. Laboratorio, «próximamente».
Según la versión de Rossi, los datos de los pacientes no fueron copiados porque “esta información está segregada en bases de datos muy grandes, con muy baja probabilidad de conectarse y hubiere generado un tráfico tan grande que se hubiera detectado con el monitoreo de las redes internas”.
En rigor, es muy difícil saber si esto es así: garantizar que los atacantes no copiaron la información y la tienen en su poder es algo que toma mucho tiempo de análisis forense, además de que los atacantes tienen técnicas para no llamar la atención cuando realizan descargas masivas de datos. Se desconoce si Rossi trabaja con empresas especialistas en el rubro de lo que se conoce como respuesta a incidentes (incident response), pero por lo que pudo averiguar este medio, no están en contacto con ninguna de las que son referencia en Argentina.
FOG, el grupo cibercriminal que realizó el ataque
El grupo que los atacó se llama FOG. “Se trata de un grupo de ransomware que surgió a principios de este año, como un grupo cerrado (sin programa de afiliados)», explica a este medio Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, especialistas en grupos de ransomware.
«El proyecto cuenta con variantes para Unix y Windows y cuenta con rutinas interesantes destinadas específicamente al manejo de máquinas virtuales y sus archivos específicos como VMDK (discos). Los archivos se encriptan con la extensión .fog por defecto y el resto de la operación es bastante clásico: se elimina las Shadow Volume Copies, se interrumpen procesos de protección de sistema y la nota de rescate adjunta deja una llave RSA pública para la negociación, generada al momento del ataque”, sigue Eldritch.
“FOG se dedicaba mayormente a atacar el sector educativo, pero en el último tiempo viró hacia los sectores farmacéutico y médico, en una extensa campaña que dejó varias víctimas de importante calibre anunciadas en su sitio. Se cree que emplean varias redes de IABS (Initial Access Brokers) para ingresar a la infraestructura de sus víctimas”, cerró. Los IAB son brokers de accesos para entrar a los sistemas, que los comercializan para poder ganar acceso.
Problemas en la atención y denuncia ante la Justicia
“Fui la semana pasada a hacerme un estudio de rutina, sin turno, a Rossi. Fui el jueves pasado y me dijeron que desde el 20 de noviembre ya no tenían sistema y que no atendían a nadie, que no podían hacer nada”, contó a Clarín un paciente que asistió para hacer un estudio.
“Me dijeron que tenían todas todas las computadoras apagadas y que tenían la orden de no prenderlas. Cuando pregunté si sabían qué había pasado, en recepción me dijeron ‘parece que nos hackearon’. Pero no podían prender la computadora ni para buscar tu nombre”, siguió.
“Me tuve que ir a otro laboratorio para hacerme el estudio, pero todos los que llegaban se encontraban con la misma situación, e incluso habían puesto vallas”, cerró. Otros usuarios manifestaron quejas por no poder operar online para sacar turnos y, a medida que se acercaban a los centros médicos, corroboraban los problemas.
Grupo Rossi realizó una denuncia en Nación y quedó radicada en el Juzgado Criminal y Correccional N° 53, Secretaría N° 66, y la Fiscalía Criminal y Correccional N° 58 (causa 65229/2024). “Desde la parte técnica, les pedimos información específica sobre algunos posibles eventos que pueden haber servido de vector de ataque y pusimos a trabajar a la Policía Federal Argentina”, dijo Horacio Azzolin, fiscal general de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), en diálogo con este medio.
Además, la fiscalía consultó si el incidente fue notificado a la Agencia de Acceso a la Información Pública (AAIP) y pidió detalles sobre potenciales víctimas por filtraciones de datos personales, es decir, los pacientes. “Se esta dando intervención a la AAIP”, confirmaron desde Rossi.
Otro riesgo asociado es que, si los cibercriminales tienen información de los pacientes, la comercialicen. Las filtraciones, o “leaks” como se conocen en el ambiente de la ciberseguridad (así se dice en inglés), implican que cierta información interna de una entidad que no estaba pensada para ser pública, se da a conocer (como estudios médicos).
Salud, uno de los rubros más atacados
Los datos personales se comercializan para cometer diversos tipos de ciberdelitos, entre los que se encuentra la suplantación de identidad, que puede usarse para conseguir accesos no autorizados o realizar ingeniería social. Los datos médicos son especialmente útiles para tener información personal y hasta sensible de los usuarios y usar eso para crear campañas dirigidas de phishing aprovechando esa información.
Los ataques a instituciones de salud no son extraños en el escenario actual de los ciberataques. Por la sensibilidad de los servicios que proveen, distintos grupos de cibercriminales explotan potenciales vulnerabilidades en los sistemas para entrar, interrumpir sistemas y hasta llevarse información.
Según el informe de IBM “Cost of a Data Breach Report 2024”, el sector sanitario encabeza, durante 14 años seguidos, el primer lugar de entidades a las que más les cuesta recuperarse, tanto económica como materialmente, con 9.77 millones de dólares promedio. Estudios de otras empresas colocan a Salud entre los primeros puestos.
“Para poner en números el escenario, más de 88 millones de personas vieron expuestos sus datos médicos durante los primeros 10 meses del 2023 en EE.UU., según cifras del gobierno estadounidense”, complementa Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
En Argentina, durante los últimos años hubo una serie de ataques de envergadura contra entidades de salud. El PAMI fue atacado por un ransomware durante el año pasado, el Hospital Garrahan sufrió una filtración de datos en 2022 y también OSDE, empresa de salud privada, vio cómo un grupo cibercriminal le publicó estudios médicos y datos sensibles de sus pacientes. Otras entidades como Avalian y Medifé también sufrieron ciberataques.
Especialistas en ciberseguridad esperan que los ataques de ransomware se mantengan durante 2025, aunque con algunas variantes más orientadas hacia el “data extortion”, esto es, ir más por la extorsión por la publicación de los datos que por el encriptado de los sistemas.
Comunicado oficial de Grupo Rossi a sus usuarios
La empresa compartió con Clarín el comunicado oficial del incidente:
Se informa que debido a un incidente de seguridad, las líneas de contacto y sistemas informáticos están experimentando una alta demanda, por lo que su funcionamiento se vio parcialmente afectado. Se ha contactado a las autoridades correspondientes del caso y oportunamente se dará más información a medida que avance la investigación. No hemos detectado indicios de que datos personales hayan sido sustraídos. Seguimos trabajando para resolver esta situación y garantizar la continuidad de nuestra atención con los estándares de calidad que siempre nos han caracterizado. Lamentamos profundamente los inconvenientes ocasionados y agradecemos su paciencia y comprensión.