No es exagerado decir que el sector de la Sanidad ha tenido un par de años muy complicados. A las presiones operativas de la pandemia se suman mafias y grupos de ciberdelincuentes que han incrementado la presión sobre el sistema sanitario con ataques de ransomware como medida de extorsión a los hospitales para obtener más dinero.
La mala noticia es que el impacto tanto del COVID-19 como del ransomware continúa muy activo hoy en día. Si bien la acumulación de pacientes de la era de la pandemia poco a poco desciende, los ciberdelitos motivados con un objetivo puramente económico han resultado ser más obstinados e irrespetuosos que el propio coronavirus.
En resumen, las organizaciones sanitarias integradas han pasado de una pandemia a otra sin tiempo de reacción ni adaptación. Una reciente investigación de Trend Micro revela que más de la mitad de las organizaciones se han visto comprometidas por ransomware en los últimos tres años. Y como resultado, el 86 por ciento de las mismas sufrieron interrupciones operativas. Pero, así como encontramos una manera de mitigar los riesgos para la salud del COVID-19, las organizaciones sanitarias también pueden hacer mucho para mejorar su resistencia al ransomware.
‘Ransomware’: Los ataques digitales tienen impactos cinéticos
Teniendo en cuenta que la investigación se ha realizado a nivel global, del 54 por ciento de las organizaciones sanitarias que han sufrido ataques ransomware, un cuarto informa haber tenido que cesar por completo su operativa, mientras que otro 60 por ciento dice que algunos procesos críticos se vieron interrumpidos. Este tipo de interrupción del servicio es importante para cualquier organización, pero en el cuidado de la salud podría ser una cuestión de vida o muerte.
No en vano, de media, la mayoría de las organizaciones del sector sanitario tardan días o semanas en restaurar completamente sus operaciones de TI después de una brecha de este tipo. Mientras tanto, los servicios críticos pueden seguir sin estar disponibles, los pacientes pueden necesitar ser redirigidos a instalaciones cercanas y su seguridad podría verse afectada.
Pero este no es el único riesgo del ransomware, por muy importante que sea. La mayoría de los ataques actuales también incluyen un elemento de doble extorsión. De hecho, el 60 por ciento de las organizaciones sanitarias integradas afectadas por ransomware dicen que sus atacantes también filtraron datos. Eso puede aumentar drásticamente el coste de los análisis forenses, la remediación y la limpieza, pero también exponer a la organización a un riesgo financiero y reputacional derivado de la naturaleza altamente regulada de los datos de carácter personal y la información privada de los pacientes. Recordemos que la normativa al respecto protege claramente esta información y advierte de cuantiosas multas por la filtración de estos datos.
La mayoría de los atacantes de ransomware ingresan a través de uno de los tres principales vectores: correo electrónico/phishing, explotación de vulnerabilidades o compromiso de RDP (protocolo de escritorio remoto). Pero los CISO que trabajan en el sector no solo tienen que pensar en su propio entorno. Cada vez más, la cadena de suministro plantea numerosos riesgos. La investigación revela que el 43 por ciento de las organizaciones creen que sus socios los han convertido en un objetivo más atractivo para el ataque. Además, no ayuda que, en promedio, el 52 por ciento de estos proveedores sean pymes, que a menudo tienen menos recursos para invertir en seguridad.
Abordar el riesgo a través de una mayor visibilidad
Dicho de otra manera, la cadena de suministro es muy heterogénea. Los partners pueden variar desde proveedores de TI subcontratados hasta empresas de logística o contratistas de limpieza. Muchos necesitarán acceso a las redes de atención médica, pero no necesariamente son auditados con el rigor y la frecuencia que deberían para cumplir con los estándares de seguridad. Esto debe cambiar.
Un buen comienzo para mejorar la seguridad de la cadena de suministro sería que las organizaciones sanitarias compartiesen inteligencia sobre amenazas con sus socios y proveedores. Sin embargo, la investigación muestra que muchas no lo hacen ni con socios (30%), ni proveedores (46%), ni con su ecosistema más amplio (46%).
Las organizaciones sanitarias pueden hacer mucho para mejorar su resistencia al ‘ransomware’
Parte de las razones podrían deberse a que el propio organismo sanitario no tiene suficiente visibilidad de su entorno de TI. Entre las principales razones que dan las organizaciones sanitarias ante el compromiso del ransomware se encuentran, fundamentalmente, la falta de visibilidad en la cadena de ataque del ransomware (43%) y la falta de visibilidad de las superficies de ataque (36%). Menos de la mitad pueden detectar actividad clave de la cadena de eliminación, como el movimiento lateral, el acceso inicial y el uso de herramientas como Mimikatz y PsExec.
Aquí es donde las herramientas de detección y respuesta extendida (XDR) pueden tener un claro impacto positivo, recopilando datos de amenazas, priorizando señales y convirtiéndolas en inteligencia para que los analistas actúen rápidamente. Podría significar la diferencia entre contener una brecha de ransomware antes de que afecte a la organización o terminar con servicios caídos durante semanas o meses. Esta información también podría compartirse con socios clave de la cadena de suministro, incorporando alertas de calidad entre toda la cadena y sus socios.
Un futuro más seguro
Es una pena que solo el 43 por ciento de las organizaciones sanitarias integradas usen XDR actualmente. Pero también muy preocupante es que casi una quinta parte no tenga controles de seguridad para proteger las implementaciones del RDP, a pesar de que es uno de los principales vectores para el acceso inicial. Aunque la mayoría del personal del sector dice parchear los sistemas con regularidad, no lo hace con la frecuencia y agilidad que deberían.
Para cubrir este punto, muchos utilizan soluciones de mitigación temprana como el parcheado virtual para reducir la ventana de exposición; y una gran mayoría incluso está restringiendo los archivos adjuntos de email para mitigar los riesgos que plantea el phishing. Pero como las bacterias se hacen resistentes a los medicamentos, los atacantes continúan desarrollando nuevos métodos de eludir las defensas.
A medida que las organizaciones sanitarias se esfuerzan por reducir la acumulación de pacientes y hacer frente a la presión a largo plazo que ejerce sobre los servicios una población que envejece y con mayor esperanza de vida, la tecnología y la transformación digital están dando un paso al frente para ayudar a gestionar todo el proceso de una manera más eficiente.
La otra cara de la moneda es que estas mismas organizaciones deben duplicar la seguridad para proteger la superficie de ataque ampliada que crean tales inversiones. El perímetro se difumina de forma directamente proporcional a la hibridación y modernización de los servicios.
A medida que las infracciones de ransomware para el cuidado de la salud siguen acumulándose, realmente no hay tiempo que perder. Toca redefinir de forma urgente las estrategias de inversión en materia de ciberseguridad.
