¿Ba­jo ata­que? El sec­tor sa­ni­ta­rio en el pun­to de mi­ra

Los hos­pi­ta­les de to­do el mun­do es­tán ba­jo ata­que. Los da­tos que al­ma­ce­nan y pro­ce­san se han con­ver­ti­do en una mer­can­cía va­lio­sa en el mer­ca­do del ci­ber­cri­men, lle­gan­do in­clu­so a vin­cu­lar­se en al­gu­nos ca­sos a ata­ques de Es­ta­dos-na­ción

El Economista - Sanidad - - OPINIÓN - Es­tra­te­ga de ci­ber­se­gu­ri­dad de Trend Mi­cro pa­ra el Sur de Eu­ro­pa Loïc Gué­zo

El sec­tor de la sa­lud en­tra en un nue­vo te­rri­to­rio de la mano de la tec­no­lo­gía y los avan­ces en In­ter­net de las co­sas ( IoT). La sa­ni­dad di­gi­tal es un he­cho, y la di­ver­si­fi­ca­ción del pa­no­ra­ma de ame­na­zas, así co­mo la am­plia­ción de la su­per­fi­cie de ata­que, tam­bién. Los hos­pi­ta­les de to­do el mun­do es­tán ba­jo ata­que. Los da­tos que al­ma­ce­nan y pro­ce­san se han con­ver­ti­do en una mer­can­cía va­lio­sa en el mer­ca­do del ci­ber­cri­men, lle­gan­do in­clu­so a vin­cu­lar­se en al­gu­nos ca­sos a ata­ques de Es­ta­dos­na­ción. En 2015, más de 113 mi­llo­nes de re­gis­tros fue­ron ro­ba­dos so­lo en Es­ta­dos Uni­dos, se­gún el De­par­ta­men­to de Sa­ni­dad y Se­gu­ri­dad So­cial. Sin du­da, exis­ten mu­chos más ca­sos que no se han de­nun­cia­do, tan­to en es­te país co­mo en mu­chos otros.

Pe­ro ¿por qué los re­gis­tros elec­tró­ni­cos sanitarios son tan co­di­cia­dos? ¿Real­men­te va­len tan­to? Pues sí, ya que al­gu­nos in­for­mes apun­tan que los ata­ques en es­te sec­tor ge­ne­ran pér­di­das de más de 6.000 mi­llo­nes de dó­la­res… y és­ta es so­lo una de las ca­tas­tró­fi­cas con­se­cuen­cias que una bre­cha de da­tos pue­de pro­vo­car en es­te ám­bi­to. No ol­vi­de­mos que los da­tos son la mo­ne­da de cam­bio del si­glo XXI, don­de to­do es di­gi­tal y la hi­per­co­nec­ti­vi­dad im­pe­ra.

An­te tal pa­no­ra­ma, es im­por­tan­te que to­das las par­tes in­tere­sa­das de es­ta in­dus­tria, tan­to di­rec­ta co­mo in­di­rec­ta­men­te ya sean agen­tes pú­bli­cos o pri­va­dos, com­pren­dan el ni­vel de las ci­be­ra­me­na­zas a las que se ex­po­nen ac­tual­men­te los pro­vee­do­res de aten­ción mé­di­ca. Igualmente, han de ser cons­cien­tes de la evo­lu­ción del sec­tor ha­cia un mo­de­lo de pa­cien­te y aten­ción re­gi­dos por la me­di­ci­na per­so­na­li­za­da. Por si no fue­ra po­co, los hos­pi­ta­les cuen­tan con in­fra­es­truc­tu­ras tec­no­ló­gi­cas com­ple­jas y un mar­co nor­ma­ti­vo re­for­za­do y más es­tric­to, con la pró­xi­ma en­tra­da en vi­gor del nue­vo Re­gla­men­to Ge­ne­ral de Pro­tec­ción de Da­tos (GDPR) de la UE. Es­tos fac­to­res ha­cen que sea esen­cial edu­car y con­cien­ciar en es­te sec­tor so­bre có­mo pro­te­ger­se efi­caz­men­te en to­das las eta­pas del ci­clo de vi­da de un ci­be­ra­ta­que.

Pre­ci­sa­men­te por esa per­so­na­li­za­ción, hi­per­co­ne­xión y co­rre­la­ción de la in­for­ma­ción, las or­ga­ni­za­cio­nes del sec­tor sa­lud de­ben te­ner siem­pre muy pre­sen­te que los da­tos elec­tró­ni­cos sanitarios son enor­me­men­te ape­te­ci­bles pa­ra los ci­ber­cri­mi­na­les y por tan­to, go­zan de gran de­man­da, pu­dien­do co­mer­cia­li­zar­se en el mer­ca­do ne­gro a pre­cios mu­cho ma­yo­res que la sim­ple in­for­ma­ción de iden­ti­fi­ca­ción per­so­nal (PII). La ra­zón es sen­ci­lla: con­tie­nen una com­bi­na­ción úni­ca que mez­cla da­tos PII, in­for­ma­ción mé­di­ca, de se­gu­ros y fi­nan­cie­ra.

Es­tos da­tos tie­nen una vi­da útil con­si­de­ra­ble a di­fe­ren­cia de la na­tu­ra­le­za pe­re­ce­de­ra de aque­llos que pro­ce­den de las tar­je­tas de cré­di­to. Los ci­ber­de­lin­cuen­tes pue­den ana­li­zar­los y ven­der­los por se­pa­ra­do o jun­tos. In­for­ma­ción de re­ce­tas pa­ra ad­qui­rir me­di­ca­men­tos, crear iden­ti­da­des fal­sas y cer­ti­fi­ca­dos de na­ci­mien­to en ba­se a da­tos ro­ba­dos, pre­sen­ta­ción de re­cla­ma­cio­nes frau­du­len­tas al se­gu­ro mé­di­co, o archivo de so­li­ci­tu­des de re­cla­ma­cio­nes de im­pues­tos fal­sas, son so­lo al­gu­nos de los ser­vi­cios que los hac­kers ofre­cen en re­la­ción a los re­gis­tros elec­tró­ni­cos sanitarios ro­ba­dos. Te­rri­ble, ¿ver­dad?

Pe­ro qui­zá lo más alar­man­te es que el go­teo de vio­la­cio­nes de da­tos en el sec­tor de la sa­lud no ce­sa, al con­tra­rio, va a más des­de 2012. La can­ti­dad de re­gis­tros ro­ba­dos en 2016 as­cen­dió a 14 mi­llo­nes. So­lo en el Reino Uni­do se de­nun­cia­ron más de 800 ca­sos in­di­vi­dua­les de vul­ne­ra­bi­li­da­des de da­tos pa­ra su vi­gi­lan­cia a la Ofi­ci­na de Ins­pec­ción de la In­for­ma­ción.

Los ata­can­tes pue­den ir tras las pro­pias or­ga­ni­za­cio­nes sa­ni­ta­rias o de los pro­vee­do­res cloud de soft­wa­re pa­ra hos­pi­ta­les que uti­li­zan. Es­tos úl­ti­mos son es­pe­cial­men­te atrac­ti­vos ya que pue­den pro­por­cio­nar ac­ce­so a múl­ti­ples ba­ses de da­tos de clien­tes, ge­ne­ran­do un gran re­torno de la in­ver­sión pa­ra el hac­ker. Des­gra­cia­da­men­te, las bue­nas prác­ti­cas de se­gu­ri­dad, in­clu­yen­do la au­ten­ti­ca­ción de dos fac­to­res, el ci­fra­do de da­tos y la ges­tión de vul­ne­ra­bi­li­da­des, si­guen sien­do li­mi­ta­das en el me­jor de los ca­sos, crean­do bre­chas de se­gu­ri­dad que los ci­ber­de­lin­cuen­tes son ex­per­tos en ex­plo­tar.

Los res­pon­sa­bles de in­for­má­ti­ca y se­gu­ri­dad en es­te sec­tor, man­tie­nen una lu­cha en­car­ni­za­da con­tra es­tas ame­na­zas. Su tra­ba­jo se com­pli­ca aún más por los en­tor­nos que tie­nen que de­fen­der, a me­nu­do com­ple­jos y he­te­ro­gé­neos, vién­do­se obli­ga­dos a de­pen­der de mul­ti­tud de so­lu­cio­nes de se­gu­ri­dad pa­ra pro­te­ger­se y cu­ya ges­tión es en­go­rro­sa y ca­ra.

La ex­ten­sa su­per­fi­cie de ata­que es­tá cre­cien­do más gra­cias a In­ter­net de las Co­sas. Los dis­po­si­ti­vos y sis­te­mas mé­di­cos in­te­li­gen­tes es­tán en to­das par­tes. Mu­chos de es­tos son in­se­gu­ros, y por tan­to, la en­tra­da per­fec­ta pa­ra los hac­kers a las or­ga­ni­za­cio­nes sa­ni­ta­rias. Es­tos dis­po­si­ti­vos com­pro­me­ti­dos so­lo son po­si­bles puer­tas abier­tas a una red más am­plia que tam­bién se pue­de ser uti­li­za­da pa­ra lan­zar ata­ques DDoS, tal y co­mo se ha vis­to en la bot­net Mi­rai, una red des­ti­na­da a in­fec­tar equi­pos IoT. Más in­ti­mi­da­to­ria es la ame­na­za que es­tos dis­po­si­ti­vos mé­di­cos ejer­cen en lo que a ca­sos de ran­som­wa­re se re­fie­re -se­cues­tro de da­tos y la pe­ti­ción del pa­go de un res­ca­te-; ame­na­za que su­po­ne un gran ries­go tan­to pa­ra pa­cien­tes co­mo pa­ra or­ga­ni­za­cio­nes.

Una re­cien­te in­ves­ti­ga­ción so­bre Sho­dan, un bus­ca­dor de dis­po­si­ti­vos IoT, pu­so so­bre la me­sa que más de 1.000 cer­ti­fi­ca­dos SSL es­ta­ban ca­du­ca­dos so­lo en Es­ta­dos Uni­dos, de­jan­do ex­pues­tas a es­tas or­ga­ni­za­cio­nes a po­si­bles ata­ques. Es­te es­tu­dio po­ne de ma­ni­fies­to que las or­ga­ni­za­cio­nes del sec­tor sa­ni­ta­rio y sus da­tos EHR son el blan­co de mu­chos ci­be­ra­ta­ques, sin em­bar­go tam­bién se en­fren­tan a la cre­cien­te ame­na­za plan­tea­da por los dis­po­si­ti­vos mé­di­cos ex­pues­tos.

Ayu­dar a los pro­vee­do­res a en­ten­der me­jor las ame­na­zas a las que se en­fren­tan, pe­ro tam­bién las vul­ne­ra­bi­li­da­des que tie­nen a ni­vel de los dis­po­si­ti­vos y del sis­te­ma, es el pri­mer pa­so pa­ra sen­tar las ba­ses de la se­gu­ri­dad. So­lo te­nien­do es­te ni­vel de co­no­ci­mien­to, las or­ga­ni­za­cio­nes sa­ni­ta­rias po­drán po­ner en mar­cha es­tra­te­gias efi­ca­ces de ges­tión de ries­gos tan­to pa­ra hoy, co­mo pa­ra el ma­ña­na.

Newspapers in Spanish

Newspapers from Spain

© PressReader. All rights reserved.