El Hospital Clínic ha confirmado que se han producido nuevas filtraciones de datos como resultado de un ciberataque de ransomware que tuvo lugar a principios de marzo. Tras la primera publicación de datos el 30 de marzo, el hospital advirtió que se esperaban más revelaciones. Tanto el Hospital Clínic como la Agencia de Ciberseguridad de Catalunya han estado trabajando de manera conjunta desde el ataque, enfatizando que la divulgación total o parcial de los datos constituye un delito.
El ataque afectó a los servicios de laboratorio, farmacia y urgencias del hospital, y se tardó varias semanas en restablecer los sistemas informáticos afectados. Desde el principio, el hospital dejó claro que no pagaría ningún rescate a los ciberdelincuentes para recuperar los datos secuestrados.
El Hospital Clínic ha colaborado estrechamente con la Agencia de Ciberseguridad de Catalunya para abordar las consecuencias de este ciberataque. Ambas entidades han trabajado en conjunto para identificar las vulnerabilidades del sistema y tomar medidas de seguridad adicionales con el objetivo de prevenir futuros ataques.
El colectivo de piratas informáticos conocido como RansomHouse publicó el primer paquete de datos el 30 de marzo, amenazando con divulgar más información si no recibían un rescate. En ese momento, afirmaron poseer 4,4 terabytes de datos y exigieron 4,5 millones de dólares para su devolución. Aunque los Mossos d’Esquadra lograron bloquear el acceso de los ciberdelincuentes a los datos el 4 de abril, estos amenazaron con publicar información sobre pacientes con enfermedades infecciosas y el uso de fármacos experimentales para personas mayores dos días después.
El 16 de abril, RansomHouse afirmó haber publicado más datos confidenciales a través de un enlace Torrent, facilitando instrucciones para descargar la información de manera anónima y segura. El 27 de abril, el grupo de ciberdelincuentes anunció una nueva publicación de datos a través de su canal de Telegram, proporcionando enlaces para su descarga.
Además, el 22 de junio, la Autoridad Catalana de Protección de Datos (APDCAT) informó que se abriría un expediente informativo al Hospital Clínic y sus entidades vinculadas para investigar posibles sanciones por incumplimiento de la normativa de protección de datos debido a la filtración ocasionada por el ciberataque.
