Lo ideal sería que la salud fuera el último sector en el que se centraran los hackers y los atacantes cibernéticos; seguramente nadie querría paralizar la infraestructura hospitalaria crítica y jugar con las vidas. Sin embargo, el sector de la salud sigue siendo el más afectado en cuanto al coste medio de la violación de seguridad de los datos, alcanzando un máximo de 9,2 millones de dólares en 2021.
Pero, ¿por qué el sector de la salud?
No es que los directivos del sector de la salud no quieran invertir en soluciones de seguridad informática, sino que hay muchas barreras en el camino. La continua evolución de los ataques cibernéticos, la anticuada infraestructura médica y el alto valor de mercado de la información privada de los pacientes son algunas de las razones por las que el sector de la salud sigue luchando contra las amenazas cibernéticas como ningún otro.
Además, también faltan tiempo y recursos para formar al personal de salud sobre la naturaleza de los ataques cibernéticos. Aunque, estén bien formados para salvar vidas, no están adecuadamente educados para comprender las consecuencias de los riesgos que ocurren en línea.
Tras investigar más a fondo y buscar en múltiples fuentes, hemos identificado los ataques cibernéticos más comunes que amenazan al sector de la salud.
Ransomware
El ransomware fue el tipo de malware más común y de mayor crecimiento en 2021, y en 2022 no muestra signos de desaceleración. También es el vector de ataque preferido por los atacantes que tienen como objetivo el sector de la salud.
En un ataque típico de ransomware, los atacantes acceden a los datos sensibles y los cifran, obligando a las víctimas a pagar un rescate a cambio de liberar esos datos. Sencillamente, los datos son rehenes. En lugar de pagar el rescate, es mejor invertir una fracción de ese dinero en herramientas de cifrado de datos y copias de seguridad.
Robo de datos
Un hacker puede ganar más vendiendo información de salud personal (PHI) que vendiendo datos de tarjetas de crédito en el mercado negro. El coste medio de un solo registro de PHI en el mercado negro es de 355 dólares. Para ponerlo en perspectiva, el coste medio por registro de información de tarjetas de crédito es de unos míseros 1 a 2 dólares.
Las organizaciones de los Estados Unidos pueden estar al tanto de las infracciones del sector de la salud registradas en este sitio. Las violaciones de seguridad de datos pueden producirse por múltiples razones, como credenciales débiles o robadas o malware, algunas de las cuales analizaremos a continuación.
Acceso no autorizado
La primera y más importante regla para proteger los historiales médicos de los pacientes es protegerlos desde adentro. Esto se hace garantizando que sólo un grupo específico de individuos dentro de la empresa pueda acceder a ellos, incluyendo empleados y terceros autorizados.
La información de identificación personal (PII) no sólo debe estar protegida de las miradas indiscretas de los delincuentes informáticos, sino también de las personas de la organización a las que no les concierne.
Un servidor de red hackeado
Una red del sector de la salud, a diferencia de los sistemas de TI de otros sectores, es una plataforma omnipresente que conecta las distintas partes de una organización del sector de la salud, incluidas las máquinas de resonancia magnética, las herramientas de monitoreo de pacientes, las estaciones de trabajo, los sistemas operativos, los dispositivos periféricos y los equipos. Aunque estos múltiples componentes mejoran la experiencia general de la atención de la salud, también aumentan la superficie de ataque de la organización.
Esta complicada interacción de activos puede dar lugar a puntos ciegos en la red, que pueden ser un caldo de cultivo para puertas traseras y puntos débiles que los hackers pueden explotar.
Para evitarlo, se recomienda fortalecer las redes del sector salud con una combinación de firewalls, sistemas de prevención de intrusos y herramientas de detección y corrección de vulnerabilidades, al tiempo que se implementa una solución de gestión unificada de endpoints para mejorar la visibilidad de la red.
Phishing
El esquema típico de cualquier ataque cibernético consiste en sondear la red en busca de debilidades y explotarlas para obtener acceso no autorizado a archivos e información. En el caso del phishing, el principal punto débil que se suele aprovechar somos nosotros: los humanos. La formación del personal del sector salud, el establecimiento de accesos privilegiados y la aplicación de la autenticación multifactor pueden mantener a raya los ataques de phishing.
Correos electrónicos empresariales comprometidos
Este ataque es una forma de phishing, pero en lugar de dirigirse a la red del hospital, las principales víctimas son los empleados que trabajan allí. Los delincuentes informáticos se hacen pasar por alguien de la alta dirección y engañan a los empleados o a los departamentos de salud para que transfieran fondos a la cuenta del delincuente informático mediante una combinación de correos electrónicos falsos e ingeniería social.
Servidores o bases de datos inseguros
A veces, los hospitales almacenan inadvertidamente los historiales de los pacientes en un servidor público de forma que alguien con una conexión a Internet pueda acceder fácilmente. Esto puede dar lugar a un fallo de seguridad total, poniendo en riesgo no a miles, si no a millones de registros de PHI. Afortunadamente, los mandatos de cumplimiento como la HIPAA garantizan que las organizaciones del sector salud manejen y almacenen la PII de forma más segura.
Para concluir
Las organizaciones del sector salud dependen cada vez más de las TI. Aunque las organizaciones adoptan tecnologías avanzadas para mejorar la experiencia del paciente y automatizar los flujos de trabajo, estas tecnologías rara vez se diseñan teniendo en cuenta la seguridad. Y aunque esto puede aumentar la superficie de ataque, nunca debería ser un impedimento para la innovación.
