Organización estatal de salud filipina continúa en sus esfuerzos para recuperarse tras ciberataque

El ransomware Medusa fue responsable de la paralización de los servicios en línea de PhilHelth, entidad que gestiona el sistema de salud de Filipinas. Mientras la entidad está tratando de mitigar el incidente, todas las operaciones han vuelto a realizarse de forma manual.

La Corporación Filipina de Seguros de Salud (PhilHealth) está implementando medidas de mitigación tras de un incidente de seguridad de la información que afectó sus sistemas el pasado viernes.

Los sistemas de la agencia de salud fueron atacados por el infame ransomware Medusa, de acuerdo con lo informado por el Departamento de Tecnología de la Información y las Comunicaciones (DICT) de ese país.

Para enfrentar el incidente, el DICT implementó medidas de seguridad críticas, incluida la desconexión de las estaciones de trabajo de la red, una rápida coordinación con PhilHealth para evaluar el alcance del ataque y la recopilación de registros relevantes para un análisis exhaustivo.

Emmanuel Ledesma, Presidente y Director ejecutivo de la firma, indicó este lunes que estaban “investigando el asunto junto con las agencias gubernamentales interesadas, incluido el DICT, para evaluar el alcance del incidente”, y agregó que mientras continúe la investigación, “los sistemas afectados se mantendrán cerrados para proteger otros sistemas de aplicaciones de la organización”.

La entidad, de propiedad gubernamental, está encargada de ofrecer un programa nacional de seguro médico para los 114 millones de ciudadanos en Filipinas.

Ledesma anunció ese día que los sistemas afectados se restaurarían lo antes posible después de completar la configuración necesaria y reforzar las medidas de seguridad de la información existentes. Pese a que sus expectativas eran estar operativos el mismo lunes 25, hasta el cierre de esta edición los diversos equipos de la entidad, con el apoyo del DICT, aún estaban trabajando en la reposición de los sistemas.

Este jueves 28, aún se estaban realizando esfuerzos para restaurar la funcionalidad del servidor DNS de PhilHealth y se estaba preparando una extensa lista de verificación para comparar la preparación de la entidad para poner sus sistemas nuevamente en línea.

En paralelo, desde el DICT señalaron que continuarían investigando y monitoreando los registros adquiridos de los sistemas afectados de PhilHealth, para asegurar y garantizar completamente la estabilidad de sus sistemas.

La entidad ha estado operando manualmente desde el inicio del incidente, lo que obligó a los miembros y dependientes de dicha entidad a proporcionar una fotocopia de la Tarjeta de identificación de PhilHealth (PIC) o del Registro de datos de miembro (MDR) o cualquier documento de respaldo aceptable para su identificación.

La situación también forzó a que todos los pagos en sus sucursales estén siendo realizados únicamente por cajas, mientras que los centros de atención médica han debido implementar soluciones temporales para ingresar o dar de alta a pacientes.

De acuerdo a información entregada por autoridades del gobierno de Filipinas, había al menos 72 estaciones de trabajo infectados y entre los principales servicios comprometidos estaban el sistema de reclamos electrónicos, el sistema del portal de miembros y el sistema de cobranza.

Las autoridades descartaron que entre la información comprometidas existan registros de personas o miembros de PhilHealth.

Los atacantes están solicitando el pago del rescate, más el cobro extra de dinero para extender el plazo de extorsión y el pago para eliminar todos los datos robados desde sus bases.