El sector sanitario ha experimentado una profunda transformación digital al pasar de los registros en papel a los sistemas sanitarios electrónicos. Con ello, los centros hospitalarios, entre otros, se han convertido en un atractivo para los ciberdelincuentes. En este artículo la profesora del Máster Profesional de Analista de Inteligencia de LISA Institute y ExOficial de Inteligencia de Cibercrimen en Interpol, Agnese Carlini explica por qué los datos son atractivos y lista una serie de recomendaciones y medidas para evitar los ciberataques.
En la era digital en la que la asistencia sanitaria depende en gran medida de sistemas interconectados y datos electrónicos, los hospitales y, en general, el sistema sanitario se han convertido en objetivos prioritarios de los ciberdelincuentes.
Un aumento de esta actividad delictiva se ha experimentado y sigue en auge desde el comienzo de la pandemia, a principios de 2020. Los ciberdelincuentes aprovecharon el estrés de los empleados sanitarios y la desprotección de las redes para infiltrarse en sus sistemas. A pesar de que han pasado varios años desde el comienzo de la pandemia, el constante aumento de las ciberamenazas dirigidas a empresas sanitarias y los pacientes no parece que vaya a disminuir.
El pasado miércoles 27 de diciembre de 2023, la Comunidad de Madrid oficializó la creación de su Agencia de Ciberseguridad, que tendrá un impacto directo en el control de los sistemas y herramientas digitales de la sanidad madrileña.
La noticia llegó un día antes de que se hiciera pública la petición de un posible rescate a dos millones de pacientes de la Integris Health Organization, la mayor red sanitaria sin ánimo de lucro de Oklahoma, Estados Unidos. La red tiene hospitales, clínicas y centros de urgencias en todo el estado.
➡️ Te puede interesar: Gestión de parches: la piedra angular de la ciberseguridad
En noviembre de 2023, la organización confirmó haber sido víctima de un ataque informático en el que se perdieron datos sensibles de los pacientes, tales como: fechas de nacimiento, números de teléfono, direcciones, información sobre seguros y empresas y números de la seguridad social. A pesar de que comenzó una investigación por parte de Integris Health y se pidió a los pacientes que revisaran atentamente sus extractos y sus informes de crédito, como medida contra una posible usurpación de identidad y fraude, los cibercriminales han ido un paso más allá.
El 24 de diciembre de 2023, los pacientes afectados por el robo recibieron un correo por parte de los criminales, ofreciendo a las víctimas la posibilidad de eliminar sus datos pagando un rescate de 50 $. Según BleepingComputer, las víctimas tenían varios días para realizar el pago, fecha en la que se venderán todos los datos a terceros. El caso de Integris Health no es el único. En otras ocasiones, los pacientes víctimas han sido contactadas directamente por los cibercriminales cuyas peticiones no habían sido atendidas por las entidades afectadas.
En estas ocasiones, un aspecto importante a destacar y aclarar a las víctimas es que el pago de un rescate no siempre conduce a la eliminación real de los datos. Si bien, este acontecimiento no parece haber generado mucha inquietud en Europa, si no se pone remedio cuanto antes a las vulnerabilidades en el sistema sanitario podría convertirse pronto en una realidad en España.
➡️ Te puede interesar: Código LISA – Los mayores ciberataques en la historia de la Ciberseguridad
Por qué los centros sanitarios son atractivos para los ciberdelincuentes
Los datos sanitarios son especialmente valiosos para los delincuentes porque pueden utilizarse para cometer una amplia gama de delitos de usurpación de identidad y fraude. Por ejemplo, los datos sanitarios robados pueden utilizarse para presentar reclamaciones falsas al seguro, obtener medicamentos con receta o incluso recibir tratamiento médico utilizando la identidad de otra persona. Así mismo también se utilizan a menudo para crear identidades falsas destinadas a otras actividades delictivas, como podrían ser el blanqueo de capitales o la financiación del terrorismo.
En su incansable afán por penetrar en las redes, los actores maliciosos emplean diversas tácticas, como la ingeniería social, los ataques de fuerza bruta o la explotación de vulnerabilidades. A destacar que la ingeniería social, en particular, es una técnica astuta y muy utilizada que a menudo pasa desapercibida, ya que se basa principalmente en el error humano como consecuencia de un desconocimiento en temas de seguridad informática por parte de los usuarios.
Las principales razones por las que el sector sanitario es vulnerable a los ciberdelincuentes se podrían resumir esencialmente en:
- Digitalización de los datos
- Obsolescencia de los dispositivos conectados
- Complejidad de la cadena de suministro
- Personal sobrecargado
➡️ Te puede interesar: Las consecuencias jurídicas de la ciberdelincuencia en el sector sanitario en España
Las principales amenazas de la ciberdelincuencia en los centros sanitarios
El sector sanitario ha experimentado una profunda transformación digital al pasar de los registros en papel a los sistemas sanitarios electrónicos. Aunque esta transición ha mejorado la eficiencia y la atención al paciente, también ha hecho que la infraestructura sanitaria sea más susceptible a las ciberamenazas.
Dicho esto, el panorama de las ciberamenazas es muy amplio y engloba varios riesgos como el ransomware, las filtraciones de datos y los problemas de privacidad de los pacientes así como la interrupción de los sistemas sanitarios. Cabe destacar también que en 2023 se ha producido un notable aumento de los ataques BEC (Business Email Compromise). A pesar de que estos incidentes suponen una grave amenaza para las entidades sanitarias, a menudo suelen eludir la atención pública. Esta tendencia pone de manifiesto la capacidad de adaptación de los ciberdelincuentes para explotar diversos canales de comunicación. La falta de elementos de seguridad modernos, el riesgo centrado en el ser humano y el riesgo de la cadena de suministro como resultado de un entorno interconectado están a la base de que muchos de estos ataques tengan éxito.
De acuerdo con un análisis realizado por ENISA entre enero de 2021 y marzo de 2023, el sector sanitario europeo se enfrentó a un importante número de incidentes, siendo el ransomware una de las principales amenazas. Como podemos leer en el informe, a pesar de que la seguridad de los pacientes sigue siendo una de las principales preocupaciones de la comunidad sanitaria, solamente el 27% de las organizaciones encuestadas cuenta con un programa específico de defensa contra el ransomware y el 40% sigue sin tener un programa de concienciación sobre seguridad para el personal no informático.
➡️ Te puede interesar: Inteligencia sanitaria o MEDINT: una prioridad ante el aumento de la ciberdelincuencia
Recomendaciones y consejos para evitar ciberataques en centros sanitarios
Fomentar una buena cultura de ciberseguridad y la concienciación tanto de los ciudadanos como de las empresas, son un buen punto de partida para que la comunidad pueda aprovechar todas las ventajas de operar online de forma segura y eficaz. Así mismo es sumamente importante que los especialistas del sector sanitario reconozcan las vulnerabilidades, apliquen medidas proactivas de ciberseguridad y fomenten la colaboración, compartiendo información sobre amenazas, mejores prácticas e innovaciones tecnológicas entre homólogos del sector.
Un enfoque proactivo y la adopción de una estrategia de defensa multicapa ayudará a proteger las organizaciones del sector sanitario a la vez que mitigar los riesgos asociados a las ciberamenazas. Algunas medidas a tener en cuenta podrían ser:
- Principio del mínimo privilegio (PoLP)
- Reforzar todo lo relativo a los accesos y autenticación
- Protección de los endpoints
- Registro de actividad
- Que las reglas del firewall sean lo más estrictas posible
- Formación del personal
- Evaluación periódica de los riesgos
- Utilización de copias de seguridad externas
- Cifrado de datos
Los incidentes de ciberseguridad ocurridos en 2023 en el sector sanitario de todo el mundo deberían poner de relieve que la ciberseguridad ha pasado de ser una mera opción a una necesidad crítica. En este sentido, el principal objetivo para 2024 en lo que respecta a la ciberseguridad en la sanidad deberá ser establecer los fundamentos básicos para construir una base sólida para futuros avances.