¿Bajo ataque? El sector sanitario en el punto de mira
Los hospitales de todo el mundo están bajo ataque. Los datos que almacenan y procesan se han convertido en una mercancía valiosa en el mercado del cibercrimen, llegando incluso a vincularse en algunos casos a ataques de Estados-nación
El sector de la salud entra en un nuevo territorio de la mano de la tecnología y los avances en Internet de las cosas ( IoT). La sanidad digital es un hecho, y la diversificación del panorama de amenazas, así como la ampliación de la superficie de ataque, también. Los hospitales de todo el mundo están bajo ataque. Los datos que almacenan y procesan se han convertido en una mercancía valiosa en el mercado del cibercrimen, llegando incluso a vincularse en algunos casos a ataques de Estadosnación. En 2015, más de 113 millones de registros fueron robados solo en Estados Unidos, según el Departamento de Sanidad y Seguridad Social. Sin duda, existen muchos más casos que no se han denunciado, tanto en este país como en muchos otros.
Pero ¿por qué los registros electrónicos sanitarios son tan codiciados? ¿Realmente valen tanto? Pues sí, ya que algunos informes apuntan que los ataques en este sector generan pérdidas de más de 6.000 millones de dólares… y ésta es solo una de las catastróficas consecuencias que una brecha de datos puede provocar en este ámbito. No olvidemos que los datos son la moneda de cambio del siglo XXI, donde todo es digital y la hiperconectividad impera.
Ante tal panorama, es importante que todas las partes interesadas de esta industria, tanto directa como indirectamente ya sean agentes públicos o privados, comprendan el nivel de las ciberamenazas a las que se exponen actualmente los proveedores de atención médica. Igualmente, han de ser conscientes de la evolución del sector hacia un modelo de paciente y atención regidos por la medicina personalizada. Por si no fuera poco, los hospitales cuentan con infraestructuras tecnológicas complejas y un marco normativo reforzado y más estricto, con la próxima entrada en vigor del nuevo Reglamento General de Protección de Datos (GDPR) de la UE. Estos factores hacen que sea esencial educar y concienciar en este sector sobre cómo protegerse eficazmente en todas las etapas del ciclo de vida de un ciberataque.
Precisamente por esa personalización, hiperconexión y correlación de la información, las organizaciones del sector salud deben tener siempre muy presente que los datos electrónicos sanitarios son enormemente apetecibles para los cibercriminales y por tanto, gozan de gran demanda, pudiendo comercializarse en el mercado negro a precios mucho mayores que la simple información de identificación personal (PII). La razón es sencilla: contienen una combinación única que mezcla datos PII, información médica, de seguros y financiera.
Estos datos tienen una vida útil considerable a diferencia de la naturaleza perecedera de aquellos que proceden de las tarjetas de crédito. Los ciberdelincuentes pueden analizarlos y venderlos por separado o juntos. Información de recetas para adquirir medicamentos, crear identidades falsas y certificados de nacimiento en base a datos robados, presentación de reclamaciones fraudulentas al seguro médico, o archivo de solicitudes de reclamaciones de impuestos falsas, son solo algunos de los servicios que los hackers ofrecen en relación a los registros electrónicos sanitarios robados. Terrible, ¿verdad?
Pero quizá lo más alarmante es que el goteo de violaciones de datos en el sector de la salud no cesa, al contrario, va a más desde 2012. La cantidad de registros robados en 2016 ascendió a 14 millones. Solo en el Reino Unido se denunciaron más de 800 casos individuales de vulnerabilidades de datos para su vigilancia a la Oficina de Inspección de la Información.
Los atacantes pueden ir tras las propias organizaciones sanitarias o de los proveedores cloud de software para hospitales que utilizan. Estos últimos son especialmente atractivos ya que pueden proporcionar acceso a múltiples bases de datos de clientes, generando un gran retorno de la inversión para el hacker. Desgraciadamente, las buenas prácticas de seguridad, incluyendo la autenticación de dos factores, el cifrado de datos y la gestión de vulnerabilidades, siguen siendo limitadas en el mejor de los casos, creando brechas de seguridad que los ciberdelincuentes son expertos en explotar.
Los responsables de informática y seguridad en este sector, mantienen una lucha encarnizada contra estas amenazas. Su trabajo se complica aún más por los entornos que tienen que defender, a menudo complejos y heterogéneos, viéndose obligados a depender de multitud de soluciones de seguridad para protegerse y cuya gestión es engorrosa y cara.
La extensa superficie de ataque está creciendo más gracias a Internet de las Cosas. Los dispositivos y sistemas médicos inteligentes están en todas partes. Muchos de estos son inseguros, y por tanto, la entrada perfecta para los hackers a las organizaciones sanitarias. Estos dispositivos comprometidos solo son posibles puertas abiertas a una red más amplia que también se puede ser utilizada para lanzar ataques DDoS, tal y como se ha visto en la botnet Mirai, una red destinada a infectar equipos IoT. Más intimidatoria es la amenaza que estos dispositivos médicos ejercen en lo que a casos de ransomware se refiere -secuestro de datos y la petición del pago de un rescate-; amenaza que supone un gran riesgo tanto para pacientes como para organizaciones.
Una reciente investigación sobre Shodan, un buscador de dispositivos IoT, puso sobre la mesa que más de 1.000 certificados SSL estaban caducados solo en Estados Unidos, dejando expuestas a estas organizaciones a posibles ataques. Este estudio pone de manifiesto que las organizaciones del sector sanitario y sus datos EHR son el blanco de muchos ciberataques, sin embargo también se enfrentan a la creciente amenaza planteada por los dispositivos médicos expuestos.
Ayudar a los proveedores a entender mejor las amenazas a las que se enfrentan, pero también las vulnerabilidades que tienen a nivel de los dispositivos y del sistema, es el primer paso para sentar las bases de la seguridad. Solo teniendo este nivel de conocimiento, las organizaciones sanitarias podrán poner en marcha estrategias eficaces de gestión de riesgos tanto para hoy, como para el mañana.