El sector de la salud cumple un rol vital para el bienestar de una sociedad, ya que trabaja nada más ni nada menos que con la salud de las personas. Esto lo convierte en un blanco perfecto para la extorsión mediante un ataque de ransomware, dado que, como la interrupción en la continuidad de los servicios que brindan puede tener un impacto significativo para la comunidad, esto genera la necesidad de resolver con urgencia cualquier tipo de incidente, lo cual es un punto a favor en la negociación para un cibercriminal.
Pero además de la esencialidad del rol que ocupa la industria de la salud, otros aspectos lo hacen un blanco de interés, como son la falta de capacitación en seguridad de los profesionales de la salud; la existencia de múltiples vulnerabilidades por el uso de software obsoleto; la multiplicidad de dispositivos IoT que se utilizan, o la sensibilidad de la información que manejan.
“Los informes médicos de los pacientes contienen información privada y personal vinculada a aspectos de la vida de las personas, lo cual puede derivar, en caso de caer en manos indebidas, a la extorsión por parte de cibercriminales que pueden intentar amenazarlos con divulgar esta información sensible”, explicó hace aproximadamente un año la Oficina de Derechos Civiles de los Estados Unidos. Además, alertó sobre algunas prácticas prevalentes y emergentes por parte de los cibercriminales que el sector de la salud debería tener presente para evitar ser víctima de un incidente de seguridad.
A los reportes médicos debemos sumar otra información sensible que maneja esta industria: el desarrollo de nuevas drogas y tratamientos, datos de investigaciones médicas, resultados pruebas de tratamientos experimentales, y datos genéticos, entre otros. En este contexto, un ataque de ransomware, por ejemplo, dejaría a un médico sin acceso a registros de salud en medios electrónicos y sin la posibilidad de utilizar métodos de evaluación informáticos debido al incidente.
Una de las violaciones más famosas de seguridad informática en sistemas de atención médica fue el ataque y cibersecuestro de datos mundial de Wannacry, que inhabilitó 600 empresas del Sistema de Salud Británico en 2017. No se informó de muertes relacionadas con este ataque, pero está bien documentado el acceso reducido a la atención médica. El impacto en el bienestar del paciente se desconoce. El costo para el sistema de salud se calculó en casi 6 millones de libras esterlinas. Lamentablemente, la frecuencia de los ataques informáticos está en aumento y requiere que los sistemas de los hospitales gasten recursos significativos para prevenir cualquier impacto en el servicio de atención de pacientes. En la actualidad, se estima que las instituciones de atención médica sufren el doble o el triple de ataques en comparación con otros sectores, que pueden alcanzar miles de ataques informáticos por mes.
Los ataques en las organizaciones de atención médica siguen siendo un problema internacional. Debido a un ataque informático, un hospital universitario de la República Checa se vio forzado a posponer cirugías y a trasladar pacientes a otras instituciones de atención médica.
“En el caso de Chile, las empresas que están certificadas en calidad con la norma ISO 9.001 son casi 9 mil, pero solo 50 están certificadas en la norma 27.001. Lo que garantiza certificarse en esta ISO es que los datos que se guardan en este sistema son confidenciales, siempre están disponibles y se pueden mantener integrales y puros, sin poder modificarlos”.
Además de la tecnología, la seguridad recae en las personas. “Si un médico entrega su clave a otra persona, la falla está en la persona, entonces la educación es fundamental. Muchos de los virus que hoy existen tienen que ver con que uno pincha un correo llamativo o da la clave, por tanto, el factor educación en este espacio de ciberseguridad es lo más importante”
Uno de los mitos es que la ciberseguridad es cara o es un gasto. Nada más lejos de la verdad ya que se puede iniciar con auditorias de Pentesting y Hacking ético como un primer paso para verificar las vulnerabilidades de los activos digitales de una organización.
Un Pentesting es un conjunto de ataques simulados dirigidos a un sistema informático con una única finalidad: Detectar posibles debilidades o vulnerabilidades para que sean corregidas y no puedan ser explotadas. Estas auditorías comienzan con la recogida, en fuentes de acceso abierto, de información sobre la empresa, los empleados, usuarios, sistemas y equipamientos. El hacking ético tiene como objetivo explotar y evidenciar vulnerabilidades por medio de diversas técnicas avanzadas tal como se harían en un ataque cibernético. Un Hacker ético, simula el comportamiento de un atacante real, con el objetivo de comprometer la organización en su totalidad, sin los riesgos de un ataque real.
