El director general de ciberseguretat, arrestat després d'instal·lar presumptament programari maliciós en ordinadors d'hospitals
En un impactant abuso de confiança que posa de manifest l'amenaça creixent d'atacs interns, el CEO d'una empresa de ciberseguretat ha estat arrestat per presumptament instal·lar programari maliciós en ordinadors d'hospitals. Jeffrey Bowie, el director de Veritaco, amb seu a Oklahoma, s'enfronta a dos delictes greus en virtut de la Llei de Delictes Informàtics d'Oklahoma després de la seva detenció el 14 d'abril de 2025.
L'incident ha generat repercussions tant a la comunitat sanitària com a la indústria de la ciberseguretat, i ha plantejat preguntes importants sobre les vulnerabilitats que plantegen les persones que se suposa que s'han de defensar de les amenaces cibernètiques, no que les han de crear.
Taula de continguts
Al·legacions d'una infracció preocupant
Segons documents judicials, el presumpte atac va tenir lloc el 6 d'agost de 2024 a l'Hospital St. Anthony, un important centre mèdic d'Oklahoma City. Les imatges de seguretat van capturar Bowie vagant pels passadissos de l'hospital, intentant accedir a diverses oficines abans de trobar dos ordinadors sense supervisió. Es diu que després va instal·lar programari maliciós dissenyat per fer captures de pantalla cada 20 minuts de manera encoberta i enviar-les a una adreça IP externa.
Quan el personal de l'hospital li va preguntar, Bowie va afirmar que estava visitant un familiar que estava sent operat i que necessitava fer servir un ordinador. Tanmateix, una investigació forense duta a terme per l'equip de seguretat informàtica de St. Anthony va revelar aviat la instal·lació de programari maliciós no autoritzat.
«El 6 d'agost de 2024, es va identificar una persona no autoritzada accedint a un ordinador de l'hospital en un presumpte intent d'instal·lar programari maliciós», va declarar SSM Health, el sistema sanitari que gestiona l'Hospital St. Anthony, en un comunicat oficial. «A causa de les precaucions implementades, el problema es va solucionar immediatament i no es va accedir a cap informació del pacient».
Antecedents de l'acusat
Jeffrey Bowie, abans de fundar Veritaco l'agost de 2023, va desenvolupar una carrera en ciberseguretat, treballant com a enginyer sènior de ciberseguretat a High Point Networks i ocupant diversos altres càrrecs de seguretat. Veritaco, descrita a LinkedIn com a especialitzada en ciberseguretat, forense digital i intel·ligència privada, era una petita empresa amb només un grapat d'empleats.
La bretxa és especialment alarmant perquè Bowie, donats els seus antecedents, hauria entès totes les implicacions de plantar programari maliciós dins d'un hospital, un entorn on les vides depenen de la integritat i la fiabilitat dels sistemes informàtics.
Possibles sancions i investigació en curs
Segons la llei d'Oklahoma, les infraccions greus de la Llei de Delictes Informàtics poden comportar conseqüències greus, com ara multes que van des dels 5.000 fins als 100.000 dòlars, presó de fins a deu anys o ambdues coses. De moment, tant l'FBI com les agències locals encarregades de fer complir la llei continuen la seva investigació sobre el cas.
Tot i que cap historial de pacients va quedar compromès gràcies a l'acció ràpida del personal de l'hospital, el cas serveix com un clar recordatori que les amenaces internes poden provenir de fonts inesperades, fins i tot d'aquells que se suposa que ens han de protegir.
Lliçons per al sector sanitari
Les institucions sanitàries ja sónobjectius principals dels ciberatacs a causa de la naturalesa sensible de les dades que gestionen. Aquest incident subratlla la importància d'una seguretat física robusta, controls d'accés estrictes, monitorització constant i processos de verificació rigorosos per a qualsevol persona, fins i tot proveïdors i suposats experts, que entri en contacte amb sistemes interns.
Les organitzacions han de mantenir una mentalitat de "confiança, però verificació", garantint que fins i tot les persones amb credencials més altes no tinguin accés sense control a infraestructures crítiques. En el panorama actual, la ciberseguretat no es tracta només de defensar-se contra atacants externs: els perills interns poden ser igual de reals i, de vegades, fins i tot més devastadors.