El ciberataque sufrido por el Hospital Clínic de Barcelona el domingo 5 de marzo ha devuelto a la actualidad el debate sobre la seguridad del sistema informático en el ámbito sanitario y la custodia de unos datos de muy alta sensibilidad.
Juan Manuel López, experto de IPM A Ricoh Company, ha comentado que “los hospitales necesitan estrategias profesionales para afrontar los ciberataques”.
¿Cuál es el perfil medio de delito en este tipo de ataques informáticos?
Realmente no se trata de un delincuente en concreto o un
hacker, sino de verdaderas organizaciones delictivas. En estas ‘empresas’ hay muchos especialistas tecnológicos que se encargan de atacar sistemas informáticos de una manera coordinada.
¿Cómo trabajan estas entidades?
En la actualidad, existen mercados en los que se puede contratar los servicios de una organización para atacar una entidad determinada, y los beneficios se reparten. Ya no hablamos de un chaval joven que se dedica a estas actividades desde su casa, sino que estamos ante un verdadero mercado.
¿Cuál es el ataque más frecuente?
Como es un ataque deliberado, suele comenzar con diferentes técnicas, como engañar a algún empleado para que clique en algún enlace. Una vez que entran en el sistema, comienzan a investigar para conocer la infraestructura de la empresa, del hospital, etc. Pueden pasar semanas investigando y buscando las credenciales de los administradores de la red. De esta forma, consiguen hacer el mayor daño posible.
¿Qué hacen con estas credenciales?
Una vez lo tienen todo preparado, suelen elegir un momento determinado, como un sábado por la noche o cuando consideran que la organización está más débil, para ejecutar el ataque ‘oficial’.
¿Qué puede hacer la empresa para defenderse?
En ese momento ya no da tiempo a reaccionar, el daño ya está hecho. Por este motivo es tan complicado después volver a la normalidad. El ataque hace un gran daño y es muy difícil repararlo; si no, nadie pagaría. Las organizaciones que no están bien preparadas tienen serios problemas para responder a un ataque que ya se ha producido.
¿Qué opciones tienen estas empresas pirateadas?
Las medidas siempre van encaminadas a evitar el ataque, pero también hay que estar preparado por si el ataque se ha realizado con éxito. Esto es algo que la gente a veces no comprende. No se trata sólo de aplicar medidas de seguridad, sino también de restaurar el sistema si se produce el ataque. A esto le llamamos estrategia ‘ciberresiliente’.
La clave es la prevención.
Totalmente. Es necesario prevenir y preparar un plan de contingencia; es decir, intentar evitar que se produzcan estos ataques, pero también estar preparados por si se ejecutan y tienen éxito.
¿Y las empresas como los hospitales se están protegiendo?
Los ataques están obligando a las organizaciones a modificar sus sistemas tecnológicos, que cada vez son más complejos, para seguir dando asistencia al ciudadano. Los sistemas de prevención deben implantarse sin afectar al servicio, y también se debe tener en cuenta que no incrementen de forma excesiva el coste económico.
En el caso del Clínic de Barcelona, ¿qué ha ocurrido exactamente?
Desgraciadamente, se trata de un ataque bastante estándar. Entraron en la organización y pudieron bloquear la información de algunos servicios, como Urgencias, que precisamente es donde más daño hacen a corto plazo.
¿Cuáles fueron las principales consecuencias?
Debido al bloqueo, el hospital tuvo que detener intervenciones, y se derivó a otros centros a los pacientes que llegaban a Urgencias. Todos los sistemas de información estaban comprometidos, y no es fácil arreglar este problema, en absoluto.
Una vez consumado el ataque, ¿qué beneficios obtienen los ciberdelincuentes?
Aparte de bloquear la entrada al sistema, también consiguen acceder a la información. De esta forma, por una parte demuestran que han sido ellos los que han entrado en la estructura, y, por tanto, es a ellos a quienes hay que pagar.
Por otro lado, amenazan a la empresa con distribuir esa información. En el caso de una empresa privada, los datos se pueden vender a la competencia. Generalmente, también ocasionan un daño en la imagen y en el prestigio de la marca, por lo que pueden pedir dinero a cambio del silencio.
En el caso de un hospital, la información es mucho más delicada.
Efectivamente, pueden acceder a una información de valor para otros. Lo hacen para poder obtener dinero. Cuando entran en un sistema, bloquean el acceso y controlan la información, lo hacen con el objetivo de ‘obligar’ a la compañía a realizar el pago de un rescate.
¿Puede ser que intenten vender esos datos?
Tal vez no lo intenten o no lo consigan, pero sí amenazan con hacerlo, y piden un rescate a cambio. Es un mercado oscuro, por lo que no se sabe exactamente cómo comercializan con esa información. El fin último de los ciberataques siempre es conseguir dinero.
¿Qué ocurre cuando piden un rescate?
Muchas veces, aunque la compañía pague el rescate, no logra recuperar la información. Diversos estudios demuestran que en muchas ocasiones las empresas se gastan más dinero en pagar el rescate que si no lo hacen. En muchos países está prohibido pagar este tipo de rescates, pero, en general, la gente paga. Si no se produjeran los pagos, no existiría este negocio.
¿Qué consejos le daría a un hospital para evitar este tipo de ciberataques?
Debe contratar los servicios de una o varias empresas que le ayuden a proteger los sistemas informáticos y los datos. Depende del tamaño del centro y de sus necesidades, pero debe tener mecanismos de defensa, soluciones tecnológicas y, sobre todo, estrategias profesionales para afrontar los ciberataques.
¿Es posible compartir la información en un sistema interoperable sin poner en riesgo la confidencialidad?
Sí. Evidentemente, los objetivos actuales de la tecnología de la información se centran en este tipo de mejoras para ofrecer una mejor asistencia a los pacientes. Debemos seguir evolucionando gracias a la informática, la inteligencia artificial, etc. Los hospitales están haciendo grandes inversiones en este tipo de programas al servicio de la ciudadanía. La clave está en complementar estas mejoras con una protección mayor de la información frente a los ciberataques.
Y a nivel individual, ¿qué precauciones debe tener el profesional sanitario?
Todos somos responsables de proteger la información relacionada con los pacientes. Cualquier profesional en el ámbito hospitalario que utiliza los sistemas de información debe ser consciente de la importancia de hacer un buen uso de la infraestructura, cada uno con su pequeño grano de arena. Por ejemplo, se debe evitar hacer clic en un correo electrónico recibido en un dispositivo con un origen desconocido.
Además, los servicios centrales tienen que tomar medidas para ayudar a los empleados a que usen bien los sistemas de información y evitar los ciberataques. Asimismo, deben crear infraestructuras de defensa y complementarlas con sistemas reactivos. Todos debemos colaborar para conseguir la mayor seguridad posible, porque cualquier puerta que dejemos abierta puede permitir a estas organizaciones aprovecharse y generar negocio.
