- Inicie sesión para enviar comentarios
Por Richard Meeus, Director of Security Technology and Strategy EMEA de Akamai
Mientras que un ataque de ransomware contra una empresa puede paralizar su actividad comercial, en el ámbito sanitario es una cuestión de vida o muerte. Hace unos días, Synnovis, un proveedor británico de servicios de patología, anunció que había sido objeto de un ataque de ransomware que bloqueó sistemas informáticos vitales utilizados para proporcionar análisis de sangre y servicios de transfusión a los hospitales. El grupo ruso de ciberdelincuentes conocido como Qilin admitió estar detrás de este ciberataque. Las consecuencias fueron monumentales. Los servicios que prestan habitualmente se han visto muy afectados, las operaciones se retrasan y los análisis de sangre tardan seis veces más de lo normal en completarse. Este reciente ataque a la sanidad británica no es una anomalía, sino un ejemplo pertinente de una peligrosa tendencia al fuerte aumento del hacktivismo. El ataque es el último de los 215 incidentes de ransomware que han afectado al sector sanitario en el Reino Unido desde enero de 2019, según la Oficina del Comisionado de Información (ICO).
El nivel de confidencialidad de los datos de una institución sanitaria la convierte en un objetivo de gran valor. Este año también ha habido un rápido aumento de los ciberdelincuentes que optan por robar, en lugar de cifrar, datos médicos altamente confidenciales y amenazan con publicarlos en la web oscura, a menos que el proveedor de servicios sanitarios pague un rescate. Incluso si el autor del ransomware no recibe el rescate, adquiere notoriedad.
Al parecer, la banda de ciberdelincuentes Qilin ha exigido a Synnovis 50 millones de dólares de rescate a cambio de una clave de descifrado. Con el ransomware dirigido al sector médico alcanzando cotas astronómicas, está claro que el actual enfoque reactivo de la ciberseguridad en la sanidad no es sostenible. Las instituciones sanitarias deben ir más allá de reforzar su seguridad básica y asegurarse de que sus ciberdefensas están preparadas para las ciberamenazas de hoy y de mañana, como una necesidad para proteger los datos y las vidas de los pacientes.
El impacto humano de un ataque de ransomware
Con los delincuentes operando a nivel internacional, la ciberdelincuencia es, en última instancia, un negocio. El Foro Económico Mundial ha revelado que el coste de la ciberdelincuencia podría alcanzar los 10,5 billones de dólares anuales en 2025. Sin embargo, cuando los malos actores se dirigen específicamente a las instituciones sanitarias, son los pacientes los que pagan el precio. Si bien un ataque cibernético contra una empresa puede interrumpir servicios como los pagos y el seguimiento de inventarios de existencias, los ataques cibernéticos contra la industria de la salud pueden negar a los pacientes la atención que salva vidas y reducir su confianza en los servicios de atención médica.
Es en parte el aspecto humano lo que convierte a los proveedores de atención médica en un objetivo principal para los ataques cibernéticos. Las instituciones sanitarias almacenan y utilizan cantidades significativas de datos personales. Estos datos son fundamentales para brindar atención, pero también son un objetivo extremadamente valioso para los ciberdelincuentes. La incómoda verdad es que los ciberdelincuentes no están pensando, en ningún momento, en llos problemas que están causando y las vidas que están poniendo en peligro. Solo están tratando de ganar dinero rápido.
Sobre este mismo tema , una investigación de Akamai también detalló que entre 2021 y 2023, los ataques de ransomware contra organizaciones de atención médica se dispararon en un 162%. Ninguna otra industria estuvo cerca de experimentar un aumento tan pronunciado. Además, las instituciones sanitarias también son mucho más propensas a incurrir en pérdidas financieras. Mientras que la media general se sitúa en el 36% de las organizaciones que afirman que los ciberataques han provocado pérdidas financieras, en el sector sanitario la cifra es del 43%.
Los puntos débiles de la seguridad sanitaria
No hay duda del ajuste de cinturón de la industria de la salud. Es por eso que las restricciones presupuestarias y un enfoque reactivo de la ciberseguridad a menudo se identifican como barreras comunes para la resiliencia cibernética en el sector. Pero lo cierto es que los enfoques reactivos entregan la iniciativa a actores malintencionados y dejan a las instituciones sanitarias a la defensiva.
Los antiguos sistemas informáticos de atención sanitaria proporcionan puntos de entrada atractivos para los ciberdelincuentes. En algunos casos, los sistemas heredados pueden representar entre el 30 y el 50 por ciento de todos los servicios de TI, lo que los deja expuestos a vulnerabilidades. Algunos de estos sistemas pueden haber sido diseñados hace más de 20 años y simplemente no se han mantenido al día con los avances tecnológicos debido al coste de mantenimiento.
Las organizaciones sanitarias y sus departamentos de seguridad suelen estar muy ocupados y no siempre pueden encontrar la cantidad de tiempo y esfuerzo necesarios para aplicar parches de forma eficaz. Las auditorías periódicas de la ciberseguridad de una organización y un enfoque de "zero trust" pueden mitigar las amenazas a los sistemas de TI sanitarios antiguos y nuevos. Un enfoque efectivo que las instituciones de salud pueden implementar rápidamente es el de la violación asumida. "Violación asumida" no significa pánico, es un enfoque que garantiza que las organizaciones sean pragmáticas. Es vital en el sector sanitario que las organizaciones entiendan dónde se guardan sus activos críticos y qué necesitan para proporcionar la atención esencial. Esto permite a los proveedores de atención médica implementar y comprender la autenticación y autorización sólidas en torno a esos sistemas y les permite estar "blindados" en consecuencia.
Además, las organizaciones sanitarias deben promover y proporcionar las capacidades para que cada empleado practique una excelente higiene cibernética, al tiempo que deben tener el deber de proteger a sus usuarios tanto como sea posible de los correos electrónicos de phishing y los ataques cibernéticos. Cuando el personal del hospital o el personal de las instalaciones médicas no están capacitados para reconocer y denunciar un correo electrónico de phishing, los atacantes pueden simplemente enviar spam a sus objetivos con mensajes de aspecto realista hasta que encuentren a un empleado que, sin saberlo, revele sus credenciales. Los atacantes saben todo esto y lo utilizan a su favor.
Esto significa prohibir las contraseñas fáciles de descifrar y hacer que la autenticación multifactor sea una práctica estándar. Al adoptar este proceso, las instituciones sanitarias pueden limitar el impacto de cualquier infracción.
Prevención de futuros ataques
La barrera de entrada para los ciberdelincuentes ha ido disminuyendo durante años. Ya sea por la proliferación de sitios web de autoservicio o herramientas de IA que están haciendo la mayor parte del trabajo pesado, incluso los ciberdelincuentes aficionados pueden causar estragos.
El uso de socios y proveedores externos amplía el panorama de amenazas de una institución de atención médica y amplía su vulnerabilidad, ya que las funciones de seguridad cibernética podrían ser muy diferentes, a pesar de trabajar hacia el mismo objetivo de salud de la atención al paciente.
Como parte de su estrategia interna de resiliencia cibernética a largo plazo, las instituciones sanitarias pueden mejorar enormemente sus capacidades de defensa segmentando su red. Esto significa identificar los aspectos críticos de la red y asegurarse de que estén delimitados, lo que hace imposible que los malos actores se infiltren. La segmentación hace que sea más difícil para los ciberdelincuentes moverse a través de la red una vez que obtienen acceso. Puede pensar en ello como desplegar puertas cortafuegos para contener la propagación de un incendio o requerir que los escáneres de identificación pasen por diferentes secciones de una oficina. Lo importante aquí es que incluso si un ciberdelincuente logra ingresar a su red, no se le otorga la libertad de deambular por donde quiera y acceder a los datos que elija.
Se ha demostrado que la segmentación mejora drásticamente la capacidad de una institución sanitaria para contener un ciberataque. El tiempo que se tarda de media en detener por completo un ataque de ransomware cuando la red de una organización está correctamente segmentada es cuatro veces más rápida que en una red que carece de una segmentación sólida. Cuando el tiempo es esencial y hay vidas en riesgo, cada segundo, cada minuto y cada hora cuentan.