En los últimos años hemos percibido una aceleración extraordinaria en el desarrollo de tecnologías como la Inteligencia Artificial, el blockchain, el cloud computing o la robótica. Y esto ha implicado su rápida implementación en diversos sectores y ámbitos de nuestra vida diaria como el de la salud, que ha ocasionado grandes mejoras, pero también la aparición de vulnerabilidades que están poniendo en poniendo en peligro la seguridad de los usuarios.
La implementación de estas técnicas ha facilitado el desarrollo de aplicaciones médicas que optimizan la atención de los pacientes, permitiéndoles consultar los resultados de sus pruebas, solicitar nuevas citas, mejorar la comunicación con el personal sanitario e, incluso, acceder al servicio médico a cualquier hora y desde cualquier lugar.
A pesar de tratarse de una herramienta realmente valiosa tanto para los profesionales de la salud como para los usuarios, estas aplicaciones son realmente sensibles a los ciberataques, ya que pueden comprometer la privacidad de los datos médicos de los pacientes y ocasionar consecuencias verdaderamente graves. En caso de que haya una filtración relacionada con una enfermedad o un tratamiento médico, el usuario puede ser objeto de estigma social o sufrir un trato discriminatorio en diversos ámbitos, incluyendo el laboral.
Asimismo, si un atacante malicioso tiene acceso no autorizado a los registros médicos de un paciente puede llegar a alterar o modificar la información de forma malintencionada. Por ejemplo, en el caso en el que un paciente sea alérgico a determinados medicamentos y su historial médico sea alterado, el usuario puede recibir un tratamiento que afecte gravemente a su salud o incluso ponga en riesgo su vida.
Técnicas de ataque
Así, existen varias técnicas que los ciberdelincuentes utilizan para comprometer los datos de sistemas médicos. Las principales son el phishing, la explotación de vulnerabilidades en el software y la manipulación no autorizada de tráfico de red. El atacante puede acceder a los sistemas informáticos del prestador de servicios de salud mediante cualquiera de estas técnicas y, de esta forma, actuar de forma maliciosa.
Este tipo de ataques son realmente peligrosos para el bienestar del paciente y la integridad del sistema de salud, pero el riesgo más importante gira en torno a las aplicaciones médicas, ya sean móviles o web. Y es que si están disponibles para el paciente, significa que están públicamente expuestas en la red, lo que facilita que sea atacada por cualquier tipo de actor malicioso desde prácticamente cualquier punto del planeta.
Una de las principales vulnerabilidades en las aplicaciones web médicas es la inyección de SQL, que permite a los atacantes insertar comandos maliciosos en la base de datos de la aplicación, lo cual permite a los intrusos acceder a datos sensibles, modificar o eliminar información o incluso tomar el control total de la aplicación. Otra de las vulnerabilidades más comunes en las herramientas médicas es el cross-site scripting, que permite a los atacantes insertar un código malicioso en la página web de la aplicación, facilitando a los intrusos la entrada a las cuentas de los usuarios, con el consecuente robo de datos sensibles o incluso el desvío de usuarios a sitios web maliciosos.
El riesgo más notable en las aplicaciones se sitúa en la falta de control en la autorización de las interfaces de programación de aplicaciones (API). Se trata del medio de comunicación entre el sistema médico y la propia aplicación; es decir, donde se manejan los datos relevantes.
Así, el déficit de comprobaciones de seguridad en el API puede permitir a un atacante acceder o incluso manipular registros de pacientes a los que no debería tener acceso. Asimismo, el simple uso de aplicaciones médicas ya conlleva un riesgo en sí mismo, debido a que los atacantes pueden conseguir que otras aplicaciones del dispositivo accedan a sus datos, esparciendo información relevante entre varios agentes. Con todo, la combinación de todos estos factores provoca que las vulnerabilidades en las aplicaciones móviles sean más difíciles de identificar y corregir que las de las páginas web.
Normativa
Además de los riesgos mencionados anteriormente, otra de las principales preocupaciones que gira en torno a las aplicaciones web médicas es el cumplimiento de normativas específicas del sector de la salud y la protección de datos personales, ya que, en algunos casos, puede ser necesario cumplir con legislaciones relacionadas con la privacidad y seguridad de los datos médicos de los pacientes. Por ejemplo, la Ley de Transferencia y Responsabilidad de Seguro Médico en Estados Unidos o el Reglamento General de Protección de Datos en Europa.
Aplicaciones médicas
El ecosistema de las aplicaciones médicas es complejo y se ve afectado por diversos retos. El desarrollo seguro de nuevas aplicaciones se enfrenta al mantenimiento de sistemas legacy o aplicaciones heredadas que permanecen en uso, mientras que la evolución tecnológica se caracteriza por un cambio rápido en las necesidades de seguridad.
Por todo ello, las pruebas para validar la resistencia a los ciberataques son un elemento imprescindible, desde exámenes de seguridad de la parte expuesta de las aplicaciones a través de análisis de tipo pentest, hasta campañas de Red Team que pongan a prueba la seguridad de toda la organización del prestador de salud.
Así, a pesar de que las aplicaciones médicas son una herramienta valiosa para mejorar la atención sanitaria, debemos ser conscientes de que también son vulnerables al cibercrimen, lo que puede afectar gravemente a la privacidad de los pacientes.
Por todo ello, es realmente importante incorporar la seguridad en todo el ciclo de vida de la aplicación, desde su creación hasta su desarrollo y posterior actividad. De esta forma, no solo nos aseguraremos de que la información está protegida, sino también de que cumplimos con las normativas del sector sanitario y de protección de datos. Contar con una red de seguridad en un ámbito tan relevante como el de la salud se ha convertido en una obligación para garantizar la seguridad de toda una sociedad.
Servicios y herramientas
En el departamento de Offensive Security & Strategic Advisory de S21Sec contamos con una amplia oferta de servicios orientados al sector de la salud, así como los servicios de consultoría en Application Security, cuya solución se enfoca en proteger las aplicaciones desde la etapa de diseño y desarrollo hasta la auditoría de la infraestructura final, brindando una protección completa en cada paso del proceso.
Por otro lado, los servicios de auditoría IT/OT han apoyado al sector de la salud en diversos ámbitos, como el análisis de dispositivos móviles, pruebas de intrusión en hospitales o ejercicios de Red Team a organizaciones vinculadas tanto a la sanidad pública como a la privada.
Gracias a estas herramientas, los servicios de salud pueden contar con una sólida protección frente a las ciberamenazas y vulnerabilidades, garantizando la seguridad de los datos empresariales y de los usuarios.
