El día Sábado 18 de abril de este año, se presentó un ataque cibernético a la información del Hospital Universitario San Jorge de Pereira (Véase Corona-Hacker en el Hospital San Jorge ). Aunque la Fiscalía ya fue notificada elevando la respectiva denuncia penal el día 20 de abril por los hechos que pusieron en riesgo la delicada información de los pacientes y lo más grave aún, que pusieron en jaque al hospital con la posibilidad de perder miles de millones de pesos producto de la pérdida de información de procedimientos, costos y facturas pendientes de procesar.
Hoy a raíz de nuestras investigaciones, incluyendo Fiscalía y consulta al Contralor del Departamento Álvaro Trujillo y su equipo, nos asaltan serias dudas como ¿por qué ingresó el ataque a través del equipo de un tercero que estaba desprotegido?, ¿qué funcionario o contratista es el responsable de tener actualizado el antivirus de los equipos?, ¿quién del hospital responde por tener al día la seguridad informática de la entidad?, si el hospital cuenta con una contrato con la firma Iron Mountain para la custodia en ese momento ¿o no fue usada o no estaba actualizada?, ¿por qué tuvieron que contratar de urgencia, un ingeniero de otra ciudad, es que no tenían un profesional acorde a esa responsabilidad? y finalmente, por ese lamentable descuido de los responsables del hospital hoy no sabemos con certeza qué se perdió y a punto estuvimos de pagar muchos millones de pesos por no tener al día la seguridad y un profesional idóneo para ello. Señor Procurador acá hay trabajo.
Los cogieron indefensos y vulnerables. Nadie puede asegurar que todo se recuperó, son muchos los interrogantes y por lo visto poca la seguridad. Se repite la historia de la Personería ( Asaltan la Personería y roban los datos del caso de los adultos mayores ). Advertimos a la Contraloría Municipal de Pereira que seguían ellos y así sucedió el 21 de octubre de 2017 ( Roban archivos de la Contraloría de Pereira ), de ambos casos no sabemos aún de capturas ni responsables y seguramente de este caso tampoco sabremos nada, aunque trabajo para la Fiscalía y Procuraduría sí hay.
Así pidieron el rescate
Pedían el pago de 0.9 BitCoins($31.223.181) por regresar cada segmento de la información secuestrada
Denuncia a Fiscalía
La Fiscalía ya fue notificada por el centro asistencial elevando la respectiva denuncia penal el día 20 de Abril por los hechos que pusieron en riesgo la delicada información de los pacientes y lo mas grave aun, puso en jaque al Hospital con la posibilidad de perder miles de millones de pesos producto de la pérdida información de procedimientos, costos y facturas pendientes de procesar.
Pero las irregularidades no se hacen esperar y de los documentos obtenidos por este medio de comunicación surgen varias dudas:
1. En respuesta a la solicitud de información radicado Nº 682 (que pedí a través de la Contraloría), el Ingeniero Frank Jhoanny Hernández Restrepo, Jefe de Gestión Informática, le informa a la Dra. Lina María Quintero Gartner de Contraloría General de Risaralda, que el equipo por donde ingresó el ataque del virus tipo ransomware es el FACTAUTO5 que según nuestras investigaciones corresponde a un equipo que es propiedad de un tercero contratista quien debería haber tenido actualizadas sus políticas de seguridad, cosa que al parecer está investigando la Fiscalía.
2. En dicho comunicado, el Jefe de Gestión Informática explica que “se registraron intentos de ataques de este dispositivo hacia otros equipos de la red los cuales pudieron detectar por tener la versión 11.1 instalada, los que no estaban actualizados fueron cifrados”. Al respecto, este medio se pregunta ¿de cuál funcionario o contratista era la responsabilidad de actualizar la versión de estos antivirus?
Dado que el documento menciona a la empresa INFORTEC como proveedor del servicio de seguridad perimetral y antivirus, contactamos al Ing. Federico Giraldo quien guardando la reserva por tratarse de un tema de seguridad informática, y expresó:
“Haciendo referencia puntual a la situación del Hospital San Jorge, es importante aclarar que nosotros, INFORTEC, no tenemos ningún contrato de administración de las soluciones de ciberseguridad (Antivirus y Firewall), ni somos los encargados de monitorear dichas soluciones. Nuestro relacionamiento con la entidad se limita a la venta de la renovación de las soluciones y a prestar los servicios de soporte técnico postventa bajo demanda incluidos en dicha negociación, los cuales se atienden bajo requerimiento de las personas encargadas de las soluciones mediante los canales de comunicación que tenemos previstos para ello y que están definidos como 30 horas para firewall y 20 horas para la solución de antivirus, información que se encuentra detallada en el contrato”.
Surge entonces la duda de sobre a quién al interior del hospital le recae la responsabilidad de salvaguardar la seguridad informática de los miles de pacientes risaraldenses y de velar por la protección de la información que le permite cobrar por sus ingresos a esta importante institución de salud maltratada en años anteriores.
3. En este mismo documento se hace alusión a los procedimientos de recuperación de la información: “Debido a la urgencia y la corrupción de los archivos de respaldo (los respaldos quedaron inservibles, se procederá a recuperar los esquemas forzando el reconocimiento de los archivos dentro del motor sin procedimiento de import), lo cual denota que no se restauraron los archivos desde una copia de seguridad sino que sin explicación alguna, se optó por la vía más delicada de tratar de recuperar los archivos encriptados o dañados.
Este medio pudo constatar que el Hospital Universitario San Jorge cuenta con un contrato de prestación de servicios con la firma IRON MOUNTAIN para la custodia física de información entre la que se cuentan discos duros de respaldo pero extrañamente a la fecha del incidente de ciber seguridad, esta copia o respaldo no fue usada o no se encontraba actualizada.
4. Después de los hechos, comenta el Ing Hernández, se contrató a un profesional para que se encargara de “la co-administración de las herramientas de seguridad perimetral y seguridad de equipos de cómputo” con lo cual queda la duda si antes de este suceso no existía un funcionario encargado de estas actividades tan sumamente delicadas que deben hacer parte fundamental de las políticas de seguridad de la información que a su vez son eje principal de la estrategia de Gobierno Digital de obligatorio cumplimiento en este tipo de entidades.
Si bien puede ser cierto como lo explica el Ing. Hernández que no hubo afectación económica y así mismo lo concluye la Contraloría General de Risaralda, en la respuesta que me fue enviada el 13 de Julio del presente año, las autoridades de control (principalmente la Procuraduría) deberá investigar las fallas disciplinarias al interior de la entidad que permitieron dimensionar la magnitud de una catástrofe y que hacen un llamado de alerta para que este tipo de riesgos sean tomados más en serio por el Gerente del Hospital Dr. Juan Carlos Restrepo con los directivos y el gobernador Víctor Manuel Tamayo Vargas.