Guillermo Lázaro. Senior Account Manager de Factum
24 de noviembre 2022. 1:59 pm
El sector sanitario español es el tercero más ciber atacado debido al alto grado de confidencialidad de los datos que se manejan y la facilidad para conseguir el pago de rescates, precisamente por ser un servicio tan imprescindible. Si Salud ya ganó relevancia durante la…
El sector sanitario español es el tercero más ciber atacado debido al alto grado de confidencialidad de los datos que se manejan y la facilidad para conseguir el pago de rescates, precisamente por ser un servicio tan imprescindible. Si Salud ya ganó relevancia durante la pandemia por la labor de sus profesionales, el reto es ahora doble por la lucha que se libra en el entorno digital. Y es que más de 500 instituciones sanitarias han notificado incidentes cibernéticos de alta peligrosidad, llegando algunos a alcanzar más de 4 millones de euros para su resolución.
En concreto, en España, más de 500 instituciones de este sector han notificado incidentes o reportes de vulnerabilidad en 2022, un 48 % más con respecto al año anterior según INCIBE. Aun así, también es cierto que, gracias a la labor de los partners tecnológicos especializados en ciberseguridad, este año se han frenado a tiempo más de 50.000 intentos de ransomware en organismos sanitarios públicos.
Ataques al sector sanitario, una forma de ciberterrorismo
Para entender la gravedad y alcance de los ciberataques, primero hay que reflexionar sobre cómo actúan los tan mencionados ciberatacantes en la era digital actual. Igual que cualquiera, los ciberdelincuentes están al tanto de la actualidad, cuentan con programas y tecnología sofisticada para operar y conocen a la perfección cuáles son y de qué manera funcionan los sectores más vulnerables.
En segundo lugar, debemos considerar qué es realmente la figura del hacker. Así, no hay que considerarlos como personas solitarias sentadas enfrente de un ordenador tecleando largas cifras, sino que se trata de organizaciones cibercriminales muy sofisticadas y con amplio conocimiento del entorno tecnológico que se extienden a nivel internacional y lanzan amenazas de forma indiscriminada con fines económicos.
Esta realidad está provocando gran vulnerabilidad en las empresas sanitarias, ya que, además de la protección de sus propios sistemas y la privacidad de los datos confidenciales, deben asegurar el bienestar de sus pacientes, el cual se encuentra también amenazado, aunque de forma indirecta. ¿Por qué? La respuesta es simple.
Si, por ejemplo, una empresa logística fuera víctima de un ciberataque, las peores consecuencias podrían traducirse en la suspensión total o parcial del servicio o la paralización de la cadena de suministro. Pero, para un hospital, farmacéutica o centro de investigación, dicha paralización puede traducirse en graves retrasos en los diagnósticos y tratamientos (imaginemos una intervención quirúrgica urgente que tiene que verse obligatoriamente aplazada o suspendida); colapso de los centros médicos por imposibilidad de tramitar altas y bajas; y hasta pérdida de informes y métricas.
Es decir, que no solo hablamos de agravantes legales o económicos, sino que las propias vidas de las personas pueden verse afectadas. Precisamente por ello, los ciberataques a la sanidad pública se consideran como caso de ciberterrorismo.
La digitalización de la Sanidad demuestra falta de ciberseguridad
En otro orden de argumento, también podemos decir que la tendencia actual de la digitalización y la transformación tecnológica ha traído consigo grandes beneficios y algunos inconvenientes, pues ha expuesto los errores y carencias de seguridad con las que cuentan las empresas del sector sanitario: poca cultura generalizada sobre las buenas prácticas de ciberseguridad, falta de concienciación sobre la gravedad de los ataques cibernéticos y un sistema TI tradicional, heredado y difícilmente escalable.
Hace algunos años, acudir a la consulta del médico suponía para los profesionales un archivado de datos que únicamente se basaba en una tabla de Excel en el ordenador de la recepción. Ahora, todo el entorno sanitario está digitalizado, lo que ha producido asombrosos avances en diagnóstico y productividad, pero ha provocado también un aumento de las ciberamenazas por su propia naturaleza digital.
Si recorremos un hospital cualquiera podemos darnos cuenta. Desde los láseres, los escáneres o las máquinas de radiografía que recogen y analizan información en tiempo real hasta las aplicaciones de salud que cada paciente lleva en su teléfono personal como los sistemas automáticos de iluminación, puertas o temperatura. La hiperconexión a partir de los IoMT (Internet of Medical Things) es absoluta y supone una clara vía de entrada para los ciberdelincuentes, ya que estos no permiten escalar programas de ciberseguridad por limitaciones de los fabricantes y, en muchos casos, la seguridad depende también de la prevención y concienciación. Las organizaciones sanitarias tienen una media de más de 26.000 dispositivos conectados a la red.
Así, los casos de ciberataques registrados por las autoridades españolas en el sector sanitario han identificado cuatro más recurrentes que se corresponden directamente con las carencias, por una parte, y con los sistemas digitales que se utilizan en el día a día de los centros: paralización en la cadena de suministro; intrusión en Cloud; vulneración del correo electrónico (o suplantación de identidad mediante phishing); y ransomware o secuestro de datos.
De estos, el último es el más peligroso y común (State of Ransomware in Healthcare 2022 informa que, este año, más del 65 % de las instituciones médicas han sido víctimas y que la mayoría de ellas pagaba el rescate para evitar la paralización) porque es, precisamente, el causante de los retrasos en los diagnósticos y tratamientos que se han mencionado anteriormente.
La preocupación principal del sector sanitario español
El hecho de que el sector sanitario no deje de sumar casos de ataques y que sea uno de los más atacados de nuestro país junto con la Administración Pública, la Banca o la Educación, denota que el nivel de protección es ínfimo y que la inversión destinada a investigación, prevención y a la puesta en marcha de soluciones de ciberseguridad es aún insuficiente.
Asimismo, las consecuencias que puede enfrentar una empresa de este sector no solo se aplican a los rescates (que nunca debe ser la forma de solventarlo) ni son la única preocupación, sino que las represalias legales que pueden derivar de la filtración de datos privados “sensibles” de los pacientes, como historiales médicos, comprende denuncias, procesos judiciales e indemnizaciones muy cuantiosas.
Algo parecido sucede con las aplicaciones de salud, de las que es imposible controlar los accesos o el nivel de seguridad que traen en su programación base; y el robo de información sobre el funcionamiento de la maquinaria hospitalaria vía IA, así como la intrusión en todos los dispositivos inteligentes que conforman el Internet of Medical Things (IoMT), como pueden ser impresoras, escáneres, láseres o ecografías, entre otros dispositivos.
Por todo ello, la cuestión de la ciberseguridad en el sector sanitario debería ser una prioridad social, económica y política a nivel nacional e internacional, porque cuando una compañía de este sector está en peligro, también lo estamos los usuarios que dependemos y contribuimos a la misma.
Así, además de promover la inversión en soluciones propias de ciberseguridad para disponer de un inventario de todos los dispositivos conectados y tener, así, una visión de los activos a proteger (lo que no se ve, no se puede securizar), se debe animar a las instituciones médicas a promover la formación y la concienciación de los empleados y pacientes, de modo que sean la primera barrera de seguridad.
