Sí, es posible matar a alguien con un ataque informático

Los ataques informáticos se producen en un entorno virtual, sin violencia física: un software intenta acceder a un ordenador para alterar su programación y modificar su funcionamiento, pero pueden tener consecuencias realmente graves en el mundo real. A mediados de septiembre los servidores del Hospital Universitario de Dusseldorf, en Alemania, sufrieron un ataque ransomware (en el que el atacante 'secuestra' parte de la información y la víctima debe pagar un rescate) que obligó a cerrar las urgencias del centro.

Según publicó el diario alemán Bild, esto llevó a desviar a los pacientes a otros hospitales de la ciudad, entre ellos una mujer de 78 años que falleció poco después. La policía se puso en contacto con los piratas informáticos y estos proporcionaron la clave para desencriptar los 30 servidores que habían secuestrado, por lo que el hospital volvió a funcionar con normalidad. Hablamos así de la primera víctima mortal reconocida fruto de un ataque informático.

Pero esto es sólo el comienzo. Un informe elaborado por la empresa creadora del anti-malware 'Emsisoft' cree que la amenaza de ataques con ransomware en EE.UU. supone un peligro extremo:el año pasado se produjeron en el país 764 ataques a centros de atención médica, además de a 113 agencias e instituciones gubernamentales y 89 universidades, institutos y zonas escolares.

En marzo el experto en seguridad Jason Healey, de la Columbia University's School of International and Public Affairs, advirtió en Twitter del peligro de ataques de este tipo a hospitales y cómo podían provocar alguna muerte. Acertó, ya que se han seguido produciendo: a finales de septiembre fue atacada (también con un ransomware) una cadena de hospitales estadounidenses, Universal Health Services, que cuenta con 250 hospitales y otras instalaciones médicas. El ataque impidió acceder a los ordenadores y teléfonos de estos centros y los pacientes se derivaron a otras instalaciones.

Los ataques a centros sanitarios preocupan más en mitad de una pandemia, pero no son una novedad. Uno de los más graves se produjo en la primavera de 2017 y el 'arma' utilizada fue el ransomware WannaCry que, además de afectar a grandes empresas como Telefonica, FedEx o Deutsche Bahn (compañía de ferrocarriles germana), paralizó durante varios días a buena parte del National Health Serviceel (el servicio de salud pública británico). Hospitales y centros médicos de Inglaterra y Escocia tuvieron que cancelar 20.000 citas y 600 operaciones, derivando a otros centros a los pacientes urgentes de cinco hospitales. Un informe del gobierno británico determinó que el 1% de toda la atención sanitaria del NHS se vio interrumpida durante una semana debido al ataque.

Las estimaciones indican que el coste económico de las consecuencias de este ataque (no se pagó el rescate solicitado) fue de 101 millones de euros, pero el daño a los pacientes que no pudieron recibir el tratamiento previsto es incalculable.

El gobierno británico sospechó que el origen del ataque con Wannacry era Corea del Norte y, un mes después, apuntó a Rusia como fuente de un ciberataque mediante el malware Petya. Al parecer, el objetivo original era una empresa naviera ucraniana pero algo se torció por el camino.

Los ataques informáticos también pueden afectar a las personas que lleven implantes como un marcapasos, un desfibrilador o una bomba de medicamentos. En 2012, la serie de televisión 'Homeland' mostró cómo unos terroristas planeaban hackear el marcapasos del vicepresidente estadounidense. Un año después, Dick Cheney (ex vicepresidente de EE.UU. bajo la presidencia de George Bush) reveló que había pedido a los médicos que desactivaran la conexión inalámbrica de su marcapasos para evitar que alguien lo piratease e inutilizara. Tal vez basándose en un experimento realizado por investigadores de las universidades de Washington y Massachusetts, quienes en 2008 consiguieron hackear un marcapasos y acceder a sus datos.

Barnaby Jack era un famoso hacker neozelandés especializado en encontrar fallos en la seguridad de los dispositivos médicos y los cajeros de banco. Demostró en la mayor cita mundial de hackers, Black Hat, que podía 'secuestrar' la señales de radio de una bomba de insulina cercana y alterar la dosis que proporcionaba al paciente; incluso podía escanear los alrededores y detectar quién tenía instalado uno de estos aparatos. Jack murió en 2013, a los 35 años de edad, poco antes de intervenir nuevamente en Black Hat con una charla que se iba a llamar 'Hacking Humans', sobre la falta de seguridad de los dispositivos médicos y cómo los fabricantes podían mejorarla. Al parecer, Jack iba a mostrar cómo enviar de forma remota una descarga eléctrica de hasta 830 voltios a cualquier persona que llevara un marcapasos en un radio de 15 metros, provocándole la muerte. Lo cierto es que hubo empresas que reforzaron la seguridad de sus dispositivos a raíz del trabajo de Jack, quien en el momento de su muerte era director de Seguridad para Dispositivos Integrados en la empresa de seguridad de ordenadores IOActive.

Cada vez más dispositivos están conectados a Internet mediante Wi-Fi, lo que aumenta el riesgo de ataque informático si alguien consigue hacerse con su control. La industria automovilística es un sector en el que se pueden interesar los piratas informáticos. Múltiples investigaciones realizadas durante los últimos 20 años han demostrado que puede llegar a controlarse un vehículo de forma externa. Una de las pruebas más llamativas la llevó a cabo en 2015 la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) del ejército de EE.UU.: con un portátil se pudieron controlar numerosas funciones del vehículo, incluidos el frenado y la aceleración.

Este mismo año el equipo de seguridad de la empresa de telecomunicaciones Cisco descubrió una vulnerabilidad -ya corregida mediante un parche- en un software presente en la mayoría de los coches conectados a internet. Ésta permitía a los atacantes manipular el sistema operativo y controlar algunas funciones del vehículo.

Un ataque informático podría incluso terminar en una masacre en el caso de que se produjese el sabotaje de una instalación petroquímica, de suministro de agua o incluso nuclear. En el pasado ha habido ejemplos, como el intento en 2016 de alterar la combinación de productos utilizados en una planta potabilizadora, que fue capaz de detectarlo y anular el ataque. Según la empresa de telecomunicaciones Verizon, el ataque fue posible porque la planta utilizaba software con una década de antigüedad.

Este mismo año se han producido ataques a distintas instalaciones de Israel e Irán en lo que podría ser un choque cibernético entre ambos países. En abril, ya en plena pandemia, Israel detectó un intento de alterar los niveles de los productos químicos destinados a potabilizar el agua destinada a riego y al consumo humano, y en mayo el sistema informático del puerto iraní de Sahid Rajaee estuvo paralizado varios días por otro ataque. Durante estos últimos meses ha habido varios accidentes en distintas plantas de energía, depuradoras e instalaciones petroquímicas de ambos países.

Entrando en un terreno menos peligroso para la salud real de las personas, se ha producido alguna situación en la que, debido a un ataque informático, se informa de la muerte de alguien que sigue vivo. Le sucedió a la cadena estadounidense FOX en julio de 2011. Su perfil de Twitter fue suplantado y los piratas causantes publicaron el mensaje «@BarackObama acaba de morir. El presidente ha muerto. Es un triste 4 de julio, sin duda. El presidente Barack Obama ha muerto». Otros tweets del mismo hilo indicaban que el entonces presidente estadounidense había recibido dos disparos. Dos horas más tarde la cadena de televisión recuperó su cuenta y borró estos tweets.