Cibercriminales aseguran tener datos del Ministerio de Salud y dan un plazo para publicarlos

El Ministerio de Salud de la Nación apareció este domingo en una lista de víctimas de la dark web donde cibercriminales aseguran que tienen información sensible de ciudadanos y dan 11 días antes de publicar los datos, entre los que habría registros sanitarios provinciales.

Clarín se contactó con la cartera de Salud, a cargo de Mario Lugones, que asegura que “no hubo hackeos a las bases de datos del Ministerio”.

Según el grupo de atacantes, conocido como Nova Ransomware, cuentan con “información altamente sensible de 2 millones de pacientes en archivos de Excel”. El ransomware es un tipo de malware (virus informático) que encripta información para volverla inaccesible a sus propios dueños y pedir un rescate monetario a cambio.

Tiene una segunda etapa de extorsión donde, si la víctima se niega a pagar, proceden a publicar la información (como le pasó al PAMI en agosto de 2022, durante la gestión del expresidente Alberto Fernández).

Estas bandas cibercriminales suelen subir muestras para demostrar que accedieron a los sistemas de sus víctimas. En este caso, no hay archivos, “debido a que es información muy privada”, pero sí subieron un .txt con la estructura de las carpetas que tendrían, donde se detalla el contenido de los archivos.

A partir de los nombres, tamaños y fechas de los archivos incluidos en esta muestra, se podría inferir que los atacantes habrían tenido acceso a bases de datos de campañas de vacunación y registros sanitarios provinciales.

Los archivos referidos a distintos laboratorios (como Sinopharm, Sputnik, Moderna pediátrica, entre otros) sugieren la posible presencia de información sobre personas vacunadas (por ejemplo, datos identificatorios, fechas de aplicación, lotes o centros de salud) y reportes de eventos adversos por vacunación (ESAVI). Hay una gran cantidad de referencias a registros de la Provincia de Chaco. Por estos motivos, la información comprometida sería altamente sensible.

El Ministerio dijo a este medio que “si hay datos extras, como historias clínicas, no es información con la que cuente el Ministerio de Salud”.

En la lógica del ransomware, el rédito económico es el principal móvil. Los ciberdelincuentes hacen escaneos masivos de la web en búsqueda de vulnerabilidades que suelen ser comunes, tanto por sistemas desactualizados como por fallas muy recientes que todavía no tienen parche. A partir de estos descuidos en los sistemas de seguridad, entran, copian información y luego encriptan los sistemas para cobrar un rescate, generalmente en criptomonedas.

Dentro del mundo hay grupos muy conocidos, como Black Cat, LockBit, RansomHub, Hunters International. Muchos de ellos sufrieron, durante los últimos dos años, golpes de las fuerzas del orden. Sin embargo, el negocio del ransomware sigue latente, en tanto las bandas se reagrupan y reutilizan los programas para cifrar datos.

Los primeros signos de actividad de Nova ransomware son de fines de mayo de este año. “Nova es un grupo de Ransomware que anteriormente se llamaba RALord y en Argentina encriptó a Tomio Ingeniería exitosamente. No utilizan IA en su proyecto ni en el sitio (por los notables errores gramaticales y ortográficos en inglés) ni en su producto (no hay evidencia que indique eso)”, explicó a Clarín Santiago Pérez, analista de Seguridad de BCA LTD, compañía de ciberseguridad que detectó y alertó de la amenaza.

Otros grupos en la industria sí están aplicando inteligencia artificial. “Esto es importante para diferenciarlo de otros actores incipientes o más grandes que sí lo hacen para casi la totalidad de su producto como FunkSec (Ransomware) o Venom (Drainer)”, agregó.

“También manejan un esquema RaaS y venden la cepa de ransom a un solo pago de dos mil dólares”, agregó. El RaaS, Ransomware-as-a-service, es un modelo donde un grupo de programadores diseña el malware y lo disponibiliza para que un tercero lo use, a cambio de una división de la ganancia en caso de que la extorsión sea exitosa. En julio de este año, Nova aseguró haber obtenido acceso a infraestructura de entidades de la Justicia de Colombia.

Agustín Merlo, analista de malware independiente, encontró que los ciberdelincuentes habrían compartido credenciales de acceso de manera interna a varios sitios de Argentina que, por la fecha en la que se publicó, podría ser el acceso inicial.

“Detecté que en uno de los sitios de la dark web que maneja Nova subieron una publicación de un archivo sobre ‘accesos diarios’ para ‘trabajar’. Esto es un archivo .zip con varias combolists, que son listas que contienen usuario y contraseña filtrados. En esa lista hay una credencial de varios sitios oficiales de Argentina, aunque no puedo confirmar que sean funcionales, pero por la fecha y por cómo están procesadas, parecerían ser las que usaron los cibercriminales”.

Estas contraseñas se suelen conseguir mediante infostealers, un tipo de malware que roba información generalmente almacenada en el navegador web (Google Chrome, Safari, Edge) y que apunta a contraseñas. Si el sistema informático no tiene un doble factor de autenticación, los atacantes pueden entrar sin problemas.

En este caso, fuentes con acceso a la información aseguraron a este medio que no encriptaron información, sino que sólo copiaron los datos sin cifrarlos. Esto responde a una migración del modelo de negocio del ransomware que se detectó durante el último año: un paso de la extorsión por encriptado a sólo “llevarse” datos para aplicar la segunda etapa de la extorsión.

“Observamos un pasaje de los ataques centrados en el cifrado a la exfiltración de datos y la exposición pública como método principal de extorsión. Este cambio refleja tanto el pragmatismo operativo como la evolución de los patrones de respuesta de las víctimas”, aseguró Check Point Research en un reporte sobre el estado del ransomware durante el segundo trimestre de 2025.

Un informe de Microsoft Threat Intelligence revela datos críticos sobre la vulnerabilidad del sector salud ante el ransomware y revela que la atención médica se encuentra entre las diez industrias más atacadas desde el segundo trimestre de 2024, con predominancia en esta posición durante los últimos cuatro trimestres.

Los costos financieros son preocupantes: las organizaciones sanitarias pierden un promedio de 4,4 millones de dólares y sólo en el año fiscal de 2024, un total de 389 instituciones de atención médica en los Estados Unidos fueron víctimas de ataques de ransomware, según el Informe de Defensa Digital de Microsoft 2024.

En Argentina se pueden mencionar una gran cantidad de casos de los últimos años: el PAMI vio cómo se filtraron 1,6 millones de archivos de sus afiliados, el Hospital Garrahan cayó víctima de un hackeo. El ámbito privado no está exento de este problema: los centros Rossi, Stamboulian e Hidalgo fueron hackeados a fines del año pasado, y la prepaga OSDE sufrió una filtración de 140 GB de datos en 2022 con historias clínicas de pacientes.

Según un reporte de Resilience, los sectores más atacados son los de salud, “retail” (minoristas) y manufacturas, con incidentes que superaron el millón de dólares por reclamo (es poco usual que se cobre esa cifra, por cierto). Además, durante el primer semestre de 2025, el costo promedio de un ataque subió un 17%.

Según el reporte, los atacantes usan tácticas más sofisticadas que hace unos años, desde ingeniería social con inteligencia artificial, doble extorsión y robo de pólizas de seguros para exigir rescates más altos, lo cual demuestra que los cibercriminales tienen distintos factores de presión sobre sus víctimas.

En el caso del Ministerio de Salud de la Nación, resta poco más de una semana para que se publique la información en la dark web.