La ciberseguridad es una gran preocupación para las organizaciones del sector sanitario y los proveedores de la industria médica por igual. También para los Gobiernos, ya que, como infraestructura crítica que es, el más mínimo daño que sufra puede llegar a afectar a la población en su conjunto.
El objetivo principal de la ciberseguridad en el ámbito sanitario es proteger a estas entidades de posibles intromisiones y mitigar el impacto de vulnerabilidades que puedan llegar a afectarles, garantizando la entrega ininterrumpida de servicios médicos, el adecuado funcionamiento de edificios, sistemas y equipos clínicos, la confidencialidad e integridad de los datos de los pacientes y el cumplimiento de las regulaciones de la industria en cada uno de los países en los que actúa.
Peligro creciente
Un informe reciente de la Agencia de Ciberseguridad de la Unión Europea (ENISA) revela una tendencia preocupante en los desafíos a los que se enfrenta este sector. Los proveedores de atención médica representaron el 53 por ciento de los objetivos de los incidentes totales, siendo los hospitales los más afectados con un 42 por ciento del total. Además, según el último informe de esta organización sobre el panorama de incidentes de seguridad en el sector de la salud de 2023, estos tienen un coste promedio de 300.000 euros por brecha, más del doble de la media en caso de producirse en cualquier otra industria.
Actualmente, las organizaciones del ámbito de la salud cuentan con una menor madurez en su seguridad comparado con otros sectores, como puede ser la banca. Hasta ahora tenían una menor exposición a Internet y, por tanto, una menor concienciación sobre los posibles riesgos que enfrentaban. Tras la pandemia, impulsadas por el auge de la telemedicina, su superficie de exposición se ha incrementado enormemente, facilitando el alcance de los ataques y con una infraestructura técnica que no siempre avanza en su securización a la misma velocidad que su transformación digital.
Así, hospitales, clínicas, farmacias y laboratorios se presentan como un objetivo muy atractivo, no solo por ser relativamente «fáciles», sino también porque albergan, posiblemente, la información más sensible a la que se pueda llegar a acceder.
El factor humano también desempeña un papel fundamental en la ciberseguridad. La transformación digital del sector afecta a todos los empleados, los cuales no siempre poseen el mismo nivel de higiene digital. Concienciar y proporcionar formación en ciberseguridad al personal de la salud es imperativo para fortalecer las defensas.
Además de los vectores de ataque comunes aplicables a todas las empresas, las entidades de salud deben lidiar con una diversa gama de aparatos médicos conectados entre sí (el llamado Internet de las Cosas Médicas, IoMT) o dispositivos personales que pueden carecer de una adecuada seguridad.
Los proveedores y la cadena de suministro también son objeto de ataques, con el fin de acceder a los sistemas de información hospitalaria. Ni siquiera los pacientes se salvan. La pérdida de datos, su manipulación o la imposibilidad de acceder a ellos puede comprometer la atención y la calidad del servicio al paciente, o, en última instancia, podría tener consecuencias potencialmente mortales.
Tipos de ciberataques
En cuanto a los principales tipos de ataques cibernéticos, el ransomware emergió como la principal amenaza, con un 54 por ciento sobre el total de ataques perpetrados. Sorprendentemente, solo el 27 por ciento de las organizaciones de salud afirmaba tener programas de defensa dedicados a contrarrestar estas amenazas.
Dentro de este tipo de incidentes encontramos en 2017 «WannaCry», ransomware que provocó la cancelación de cirugías en varios servicios nacionales de salud, o el ataque a un hospital español el pasado marzo de 2023, que provocó la paralización de su actividad y forzó el traslado de pacientes a otros hospitales de la zona. Este hospital todavía está pagando las consecuencias de aquella intrusión, ya que, a día de hoy, se sigue comerciando con los datos que le robaron. Contrasta con el reciente caso del ciberataque en marzo a un hospital de una capital europea, que gracias a que contaba con procesos y procedimientos adecuados, consiguió rechazarlo a las pocas horas de producirse.
Otra de las amenazas que destaca en impacto y en incidencia son las violaciones de datos, siendo junto con el ransomware los casos más habituales de ataque contra el sector. Hay que tener en cuenta que un solo registro médico puede venderse por cientos de dólares y puede ser utilizado para obtener ganancias adicionales a través de otros fraudes posteriores, como el robo de identidad o el chantaje. Además, durante los primeros seis meses del año se ha detectado también un incremento de los ataques DDoS contra estas instalaciones, originados en gran parte por el contexto geopolítico, situándose como amenaza principal del sector en un futuro próximo.
La diversidad de sistemas automatizados en las instalaciones de atención médica, provenientes de diferentes fabricantes y abarcando múltiples generaciones, contribuye a la complejidad de asegurar estos sistemas. Además, otro de los desafíos continuos a los que se enfrentan es la obsolescencia del software y de los sistemas usados. Debido a la larga vida útil del equipo médico, algunos sistemas permanecen sin cambios durante décadas.
Concienciación en ciberseguridad
Las entidades del sector sanitario se están concienciado poco a poco. El sector está cada vez más digitalizado y depende de sistemas de información críticos para el correcto funcionamiento de sus actividades y operaciones. Es esencial proteger la privacidad del paciente y garantizar la disponibilidad de todos los servicios médicos, asegurándose de cumplir con las normativas vigentes, además de poder salvaguardar su propia reputación.
Una de las principales acciones que las organizaciones del sector deben tener en cuenta para afrontar estos desafíos es la implantación de una buena cultura de ciberseguridad, algo que no se consigue de manera inmediata, sino progresiva. Además, requiere de la concienciación de todos. Por otro lado, es necesario que el sector sanitario apueste por la implantación de políticas Zero Trust, que aseguren el control de acceso a la información y la gestión de privilegios sobre los datos, y por la realización de auditorías de seguridad periódicas, que simulen el comportamiento de los adversarios. Todo ello apoyado en un buen servicio de SOC, que ofrezca monitorización y respuesta 24x7x365 y capacidades de ciberinteligencia para prevenir, detectar y responder ante cualquier riesgo que amenace los sistemas.
Los Gobiernos también desempeñan un papel fundamental al garantizar la ciberseguridad. Esto se logra mediante la colaboración entre Administración e instituciones, y a través de la imposición y el cumplimiento de normativas y regulaciones de seguridad, como la Directiva NIS2. Este tipo de medidas son esenciales para proteger la privacidad de los pacientes y la integridad y confidencialidad de los datos médicos.
La prevención es clave y la aplicación de las medidas de seguridad previamente mencionadas es un muy buen comienzo para evitar estas amenazas. Proteger la seguridad del paciente, los datos y la integridad de los servicios de salud es un esfuerzo colectivo que involucra a partes interesadas de diversos sectores. Al permanecer vigilantes, informados y preparados, las organizaciones de salud pueden navegar por el siempre cambiante entorno de seguridad y garantizar la protección y el bienestar tanto de los pacientes como del sistema de salud en su conjunto.
