« ¡Qué envidia!
Espectacular efecto Menéame »
May 10 2009

Virus informático en la Sanidad Madrileña

Escrito por: administrador en General, Hasefroch, Miscelánea

Este fin de semana pasado (el sábado 9, vamos), estuve trabajando en uno de los Hospitales públicos de la Comunidad de Madrid. Ya el viernes 8 empezamos a tener problemas con la Intranet: no podíamos conectarnos a Internet, no podíamos conectarnos a los servidores para ver analíticas… ¿Qué estaba pasando? Las llamadas al Servicio de Informática eran constantes. Tengo que decir que se portaron muy bien, pero está sobrepasados, porque tan sólo hay 5 informáticos, y no tienen jefe de servicio

Todos pensábamos que se iba a resolver rápido, pero desde las 11 de la mañana del viernes todo fue a peor, porque a cada hora se estropeaba un ordenador o un servidor. De hecho, la Subdirectora Médica avisó vía telefónica a los trabajadores del Hospital para comunicarles algo que ya se sabía: que la red se había caído. ¿La causa? Pues nos dijo que era un virus, así que nos lo creímos.

El sábado, como dije, estuve trabajando, y la cosa no pudo ser peor: no pudimos acceder a las analíticas, a las historias clínicas, a Internet, a las impresoras… A media mañana vinieron 3 informáticos desde su casa para intentar  arreglar el desaguisado, pero como he mencionado antes, están desbordados: eran 600 ordenadores en un Hospital pequeño como el nuestro, y se limitaron a los de uso más frecuente o a los críticos (servidores, etc). 

Hoy Domingo he comprobado que sólo funcionan los servidores y los ordenadores críticos, pero gran parte siguen inutilizados. Al llegar a casa he hecho una búsqueda, y he encontrado la noticia en el Blog de APISCAM. La noticia es demasiada generosa, porque creo que las implicaciones de lo que ha pasado son varias:

 

  • El virus es, según la Herramienta de Detección de Software Malintencionado de Microsoft, el denominado Backdoor:Win32/IRCbot.gen!k. Por lo que he encontrado aprovecha una vulnerabilidad DNS de los ordenadores con Windows basados en NT, pero no me hagáis mucho caso, porque hay muchas fuentes, y cada una dice una cosa.
  • Se ha caído TODA la red del Hospital, y posiblemente TODAS las redes del resto de los Hospitales de la CAM (según los rumores, es así, pero sólo son rumores). Tengo que decir que no toda se ha caído: los sistemas que funcionan con UNIX no (¡Aúpa el HP-HIS!). Es probable que se hayan afectado otras redes corporativas de la CAM.
  • Lo de “aislar las ubicaciones para evitar su propagación” es de risa. Ya se ha propagado.
  • Es cierto que, de momento, no se conoce el alcance de este virus o lo que sea. No queda claro si es un worm o un trojan horse. Ya nos enteraremos.
  • El trastorno a los que trabajamos allí ha sido enorme durante este fin de semana, pero lo que me asusta es si mañana lunes seguirán los problemas.
  • Este “desastre” demuestra lo poco preparada que está la Sanidad Madrileña; ojo, no me quejo de los informáticos, que son poco y están saturados y hacen todo lo que pueden, sino de cómo se organiza y de los pocos medios.
Hace 10 días, se detectaba un virus (informático, claro) en la Sanidad de Castilla y León. Al parecer, son virus diferentes, pero yo me pregunto: ¿Están las administraciones preparadas para hacer frente a las chapuzas que hace Microsoft con sus servidores y sus sistemas operativos? ¿Nos saldrá cara esta dependencia de Microsoft?
Mañana vuelvo a trabajar; espero que todo se haya arreglado. Ya os contaré.
ACTUALIZACION: tras más de 300 meneos, he encontrado una noticia semejante acerca del Hospital Puerta de Hierro. Ha pasado lo mismo.

Esta entrada fue escrita el Domingo, 10 de Mayo de 2009 a las 15:28 y archivada en General, Hasefroch, Miscelánea. Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propio sitio web.

26 Respuestas a “Virus informático en la Sanidad Madrileña”
  1. meneame.net dice: 10 Mayo 2009 a las 15:48

    Un virus informático crea el caos en la Sanidad Madrileña…

    Este fin de semana ha sido desastroso para los trabajadores de la Sanidad Madrileña. Desde el viernes día 8, los ordenadores no se conectaban ni se reconocían los recursos de red: sin conexión a impresoras, a servidores, a Internet, con lo que no e…

  2. Diego dice: 10 Mayo 2009 a las 16:49

    Venga, vale. Si los señores médicos y enfermeros quieren tener un Windows en su ordenador de todos los días porque les da pereza aprender a manejar otro sistema operativo lo puedo entender. Pero lo que no entiendo es que lo servidores de los hospitales (no sólo de la CAM) no estén en un sistema operativo de servidor, como lo puede ser Linux, BSD, HP-UX, Solaris o cualquier otro Unix (recomiendo Linux, como no, porque la gran comunidad que tiene).

    ¿Es que no hay nadie en este país que esté en las altas esferas y que, además, entienda ALGO de informática? ¡¡Por dios!!

    Ahora, los gastos de solución de este problema, esto es, quién paga a los informáticos y sus horas extras, ¿a cargo de quién correrán? ¿De Esperanza Aguirre o de todos los contribuyentes? La respuesta está clara.

    Y ya de estar criticando (constructivamente, espero), que alguien les diga a los médicos y enfermeros que GNU/Linux hace LO MISMO que Windows y que las diferencias en cuanto al manejo son mínimas. A cambio se dan unas mayores prestaciones, sobre todo, frente a los virus.

  3. RJMC » Cuando redes informáticas de hospitales se van abajo dice: 10 Mayo 2009 a las 18:25

    [...] viernes 8 de mayo, comenzaron los problemas, en el Hospital Puerta de Hierro ( Majadahonda ) a fecha de hoy no sabemos si se han solucionado los problemas en dicho [...]

  4. blicu dice: 10 Mayo 2009 a las 18:37

    Mi hermana pequeña me dice que para que al ordenador no le entren virus tenemos que limpiarle el polvo mas a menudo xD

  5. Juan Manuel Dato dice: 10 Mayo 2009 a las 19:18

    Si se aprovechara del DNS también habría afectado a los sistemas UNIX, mediante phising….

    Se trata de un virus que afecta al DS (el sistema de directorios de seguridad del Windows), si es cierto lo que dices.

    Me ha gustado la noticia porque habría que preguntarse quién inició el problema: que conste una cosa; tan pronto se descubra se encubrirá y no habrá pasado nada. Es así como funciona la informática: si le puedes echar la culpa al informático bien, si no, aquí no ha pasado nada.

    Lo que ha tenido que pasar es que algún médico o administrador se metió en un lugar por Internet donde no debió haberse metido; esto pasa porque se ofrecen a los trabajadores servicios de más y se valen de los ordenadores para hacer cosas que no tiene nada que ver con su trabajo.

    Si no, ¿por qué nadie iba a querer meterse dentro del servicio sanitario? ¿Una nueva forma de terrorismo? La cosa está clara. Ante esta clase de casos siempre suelen ser los informáticos quienes reciben las culpas; cuando ese virus quizá fue hecho resultado del odio que siempre recibimos.

  6. Anónimo dice: 10 Mayo 2009 a las 19:26

    Seguramente no ha trascendido, pero en Asturias el conficker campó a sus anchas en el entorno sanitario durante semanas.

    En Justicia también tuvieron muchos problemas. Además el mantenimiento informático lo lleva una UTE, y tuvieron bastantes problemas para determinar la responsabilidad del problema.

  7. administrador dice: 10 Mayo 2009 a las 21:41

    Llevamos un fin de semana metidos en el caos. En el caso de Móstoles, el problema es que todo funciona en Windows, con lo que la vulnerabilidad se ha explotado hasta sus últimas consecuencias; tened en cuenta que se ha afectado todo lo que funcionaba con recursos compartidos de Windows, aunque la verdad es que no podíamos ni consultar analíticas, historias clínicas, entrar en Internet…

    Sin embargo tengo que decir que lo único que funcionaba eran los servidores basado en Unix. ¿Qué pasará mañana lunes? Probablemente todo se tapará, y esto se quedará en nada, pero ha sido un error de seguridad muy, muy gordo, y no creo que haya sido por un hacker que intente hacer cyber-terrorismo (esto no tiene sentido), sino la propia inseguridad de las máquinas que funcionan con Windows.

  8. Juan C.Cilleruelo dice: 10 Mayo 2009 a las 22:14

    Según, no sé que artículo de la ley, los informes médicos pueden ser solicitados y su custodia pasa a manos de la persona autorizada. Un amigo mío lo hizo y dice que los únicos inconvenientes son que las consultas se alargan, pues tienen que añadir el resultado de la consulta, al informe, inmediatamente y la segunda, menos incordio, es que cada vez que vas al médico tienes que llevar los informes contigo.

    Si todo el mundo solicitase sus informes, se darían cuenta de la desconfianza que tenemos en los actuales sistemas informáticos y para evitar el gasto administrativo de tener que dárnoslos, tomarían medidas.

    PD: Por cierto. Existen precedentes de “despidos procedentes” por divulgar en blogs los avatares diarios en tu puesto de trabajo.
    Lo que sucede en el trabajo, debe quedar ahí, o si sale que sea por los cauces debidos. Sólo es un aviso a navegantes.

  9. rizox dice: 10 Mayo 2009 a las 22:25

    Hola, tienes mal el enlace al virus en la sanidad de Castilla y León. ¿Puedes revisarlo? Ando haciendo una recopilación de este tipo de desastres con riesgo de muerte o empeoramiento serio para los pacientes…

  10. administrador dice: 10 Mayo 2009 a las 22:51

    Arreglado lo del enlace a la Sanidad de Castilla y León.

    En cuanto a lo que Juan C. Cilleruelo me comenta sobre los despidos procedentes, me asusta un poco, la verdad, porque estimo mucho mi trabajo. No se puede mantener por mucho tiempo el anonimato en la web 2.0, y si alguien está interesasdo en saber quién soy y cómo me he enterado de esto, lo va a conseguir.

    Pero esto es libertad de expresión, ¿no? Y no amenazo ni atento contra el honor o la dignidad de nadie. Pero tienes razón, es posible que haya algunas represalias. De todas maneras, esto tenía que ser contado. Hemos pasado un fin de semana muy malo en el Hospital.

  11. currito dice: 10 Mayo 2009 a las 22:59

    Seguramente no ha trascendido, pero en Valencia el conficker campó a sus anchas en el entorno sanitario durante semanas. En el HGUV, La Fe, etc., ésta es la sanidad pública gestionada privadamente señores.

  12. term dice: 10 Mayo 2009 a las 23:04

    La sanidad es una cosa muy seria.
    Y esto no creo que sea un caso aislado, degraciadamente pienso que en menor y mayor medida debe de ser la tónica general.
    En todo caso eres un ciudadano, intentando mejorar nuestra sociedad.

    saludos

  13. administrador dice: 10 Mayo 2009 a las 23:11

    Gracias por el apoyo. Sí, en cierto modo, me digo a mí mismo que soy un ciudadano más, y creo que desde aquí no he hecho ninguna crítica destrutiva. Tampoco dejo entrever mi posición política (no he hablado nada de política en los posts o en los comentarios).
    Espero que esto se quede en una llamada de atención a los responsables, y que haya propósito de enmienda, claro.

  14. Los sistemas de Kanteron, inmunes a los virus que infectan sistemas de hospitales españoles » Kanteron Systems blog dice: 11 Mayo 2009 a las 0:50

    [...] varias informaciones, sistemas informáticos críticos de hospitales de Madrid, Castilla, Valencia, y otras provincias [...]

  15. shaktale dice: 11 Mayo 2009 a las 9:50

    Je je. Aupa HP-HIS y Multibase, que es el lenguaje, 100% español, en el que está hecho el HP-HIS.

  16. Técnico dice: 11 Mayo 2009 a las 16:10

    Por favor, señores, un poco de seriedad…

    Soy profesional de la seguridad informática y el viernes estuve implicado en la desinfección del ‘virus’ encontrado en Sanidad y he leído muchísimos comentarios como este.

    Vamos a puntualizar dos cosas:

    1- Contra el malware (o virus…), a pesar de todos los esfuerzos realizados, desgraciadamente hay que ser reactivo. Los fabricantes de antivirus todavía no tenemos bolas de cristal entre nuestras herramientas y cuando salta un nuevo virus, como ha sido el caso, lo único que se puede hacer es tomar muestras, estudiar su comportamiento y tratar de hacer una rutina de desinfección con la mayor rapidez posible… si álguien sabe otra manera, por favor, que me lo explique.

    2- De acuerdo que no hay prácticamente virus para Linux y que todos los informáticos preferimos este sistema operativo en lo que a seguridad se refiere… Los desarrolladores de virus ya no se mueven por aburrimiento o ganas de molestar. La creación de virus es un negocio bastante lucrativo y el objetivo es infectar la mayor cantidad de máquinas posibles. ¿Cuantas máquinas windows hay por cada máquina con cualquier otro sistema operativo? El día que se equilibre la balanza y sea rentable, tranquilos, que habrá virus de todos los colores para Linux.

    3- Se puede gastar todo el dinero que se quiera en Firewalls, Routers, Switches, Appliances de todo tipo, Antivirus, etc… y blindar todo el perímetro de tu red corporativa. Qué pena que no se les pueda cortar las manos a los usuarios que conectan usb’s que se traen de sus casitas y los conectan en el ordenador de la empresa…

  17. Juan Manuel Dato dice: 11 Mayo 2009 a las 18:26

    Con respecto a lo dicho por el técnico:

    1. Esa respuesta es muy agresiva: la manera correcta es esa. Y punto.

    2. En eso estamos también de acuerdo; pero deja entrever una teoría de la conspiración que dice que son los de seguridad informática los que llenan la red de virus. Yo ni digo que sí rotundamente, ni lo negaré.

    3. Se puede desactivar la conexión USB desde la BIOS…, si fuera ese el problema. En cualquier caso, lo primero será descubrir las responsabilidades, sin acritud.

    Por lo demás, ha sido muy inteligente su comentario; así que ¡ánimo y al toro! Para quemado el menda….

  18. Virus informáticos en hospitales públicos | Historias De Queso dice: 11 Mayo 2009 a las 19:36

    [...] de soporte ni actualizaciones? Links: Un virus informático crea el caos en la Sanidad Madrileña Virus informático en la Sanidad Madrileña Un nuevo virus informático se ha dejado hoy sentir en la informática sanitaria madrileña El [...]

  19. MATS-MADRID » Archivo del Blog » Virus informático en la Sanidad Madrileña dice: 11 Mayo 2009 a las 21:14

    [...] Blog RafaLinux     visto en: APISCAM Social [...]

  20. jjpru dice: 11 Mayo 2009 a las 22:28

    Ya esta uno un poco cansado de eso de “cuando haya tantas maquinas con linux como con windows, ya vereis”. Triste informatico es el que no sabe (o finge ignorar) que, a nivel de centros de control de la red, la proporcion es a la inversa y los windows son un minoria escasa … y no se caen cada dos por tres, a pesar de ser el blanco mas goloso para toda clase de ataques. Pero se puede seguir propagando chorradas como si fueran futurologia garantizada, que una mentira repetida muchas veces … no evita que se te siga cayendo el servidor.

  21. jjpru dice: 11 Mayo 2009 a las 22:30

    Corrijo error de redaccion en el post anterior: los centros de control de la red son mayoritariamente *nix y, por supuesto, SON LOS QUE NO SE CAEN CADA DOS POR TRES.

  22. administrador dice: 12 Mayo 2009 a las 1:48

    En el caso que relataba antes, como dije hay un gran servidor UNIX, el que llamamos entre nosotros HP-HIS, que funciona perfectamente. Luego tenemos un Red Hat 4.2, algo obsoleto, pero que funciona muy bien, aún no le he visto caerse completamente en lo que llevo trabajando. Nuestro problema procedía de que los escasos servidores con Windows Server estaban afectados, por ejemplo, los servidores que sirven las analíticas en la Intranet.

    Asimismo, también se afectaban los Windows en los ordenadores normales, los “no servidores”, y eran éstos los que no reconocía recursos compartidos ni ningún recurso de red, que es al parecer lo que provocó el caos.

    No creo, por otra parte, como he leído por ahí, que haya sido tan intencionado, o que un usuario con un pendrive lo haya introducido en el sistema. ¿Tantos hospitales afectados? ¿El Centro de Coordinación del SUMMA también? Si fuese intencionado, estaríamos ante una gran operación de ciber-terrorismo, sin duda.

  23. CSCM dice: 12 Mayo 2009 a las 7:42

    En esta página hay escrita información confidencial, que no debería de estar, tened cuidado que quien lee lo que se escribe, podría causar problemas.

    Un cordial saludo

  24. administrador dice: 12 Mayo 2009 a las 11:48

    ¿Información confidencial? No sé a qué te refieres. Casi todo lo publicado ya está en la red. Si te refieres a los servidores, quizá tengas razón, pero no es una información puramente confidencial, es decir, no publico características de los servidores, ni su IP ni nada que un usuario normal no pueda averiguar por sí mismo. Cada vez que nos conectamos al UNIX, nos da un mensaje de bienvenida, y cada vez que Apache no encuentra la página salta un error 404 con su versión y la versión del SO. Nada que no pase mientras navegamos por la red y nos logueamos en un sitio por FTP o nos salta un error 404.
    Gracias por el comentario.

  25. Elk Cloner dice: 15 Mayo 2009 a las 1:25

    En mi blog yeneis información actualizada sobre el virus de la sanidad madrileña.

  26. Paco Porras dice: 18 Mayo 2009 a las 13:50

    Un toque de atención a los administradores. Algunos dicen que Windows es más vulnerable. Otros que es porque está más extendido y por eso se le ataca más. Vale que los usuarios hacen cosas que no deberían, incluso conscientemente. Pero las actualizaciones es cosa de los profesionales. Mantener antivirus, sistema operativo, firewalls y demás sistemas actualizados es responsabilidad de los administradores de sistemas.

Deja una Respuesta