Las amenazas al sector sanitario, a la orden del día: el caso del Hospital de Torrejón

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Una incidencia informática el pasado 17 de enero obligó al Hospital Universitario de Torrejón en Madrid a ofrecer sus servicios como se hacía antes, con papel, y no ha sido asunto de un día, ya que ayer la Consejería de Sanidad de la Comunidad de Madrid estimaba que este jueves estaría restablecido el 60% del sistema, para lo que estaban trabajando su Dirección de Sistemas y el equipo interno de TI del hospital.

Según un comunicado hecho público por el centro la incidencia ha afectado a la disponibilidad de algunos sistemas de información del centro, aunque la atención clínica se está prestando con normalidad en los diferentes servicios y no se ha tenido que derivar a ningún paciente a otros centros por este motivo.

Las primeras evidencias parecen indicar que es virus, similar al que han tenido otras entidades públicas y privadas en el pasado, pero habrá que esperar el resultado definitivo de los técnicos. “No se ha determinado por el momento que haya habido secuestro de la información, como ha apuntado alguna fuente. La prioridad es restablecer la totalidad del servicio y, en este sentido, ya se dispone de acceso a los sistemas de la Consejería de Sanidad”, concluía el escueto comunicado.

Varias firmas de seguridad ya alertaron del riesgo
El pasado octubre, la firma de seguridad Proofpoint publicaba los resultados de un informe sobre este sector, que confirmaba un aumento del 300% en ataques por correo electrónico contra empresas y organizaciones sanitarias.

Hace unos meses era Check Point la compañía que advertía que el sector médico y los hospitales se encuentran entre los más vulnerables debido al bajo nivel de protección de muchos de sus dispositivos. Su director técnico Eusebio Nieva, señalaba que “el nivel de ciberseguridad con el que cuenta todavía se encuentra por debajo de lo necesario para garantizar la seguridad de la información”.

Lo mismo decía a principios de este mismo mes otro especialista en ciberseguridad, Kaspersky, que sostiene que “no hay suficiente concienciación sobre los riesgos de un ataque informático y eso que el sector sanitario ha mejorado en ciberseguridad en 2019”. Según los datos que ha plasmado en un estudio a principios de este año, el porcentaje de ordenadores, servidores y equipos médicos atacados el año pasado fue del 19%, nueve puntos porcentuales menos que en 2018.

A su juicio, las entidades sanitarias esa insuficiente concienciación sobre los peligros que puede generar un ataque se derivan de la falta de atención a los riesgos ligados a la digitalización; la escasez de conocimientos de ciberseguridad por parte del personal o la inexistencia de de normativa de seguridad adecuada a los dispositivos IoT médicos.

Sus investigadores realizaban estas advertencias porque pronostican que 2020 será un año complicado en lo que respecta a la seguridad en este sector. Por un lado, apuntan que crecerá el interés por los historiales médicos en la Dark Web ya que, a veces, son incluso más caros que la información de las tarjetas de crédito.

Por otro lado, el número de ataques a dispositivos de instalaciones médicas en países que acaban de iniciar el proceso de digitalización en el campo de los servicios médicos aumentará significativamente el próximo año. En este sentido, prevén ataques de ransomware dirigidos contra hospitales de países en desarrollo.

Además, habrá cada vez más ataques selectivos contra institutos de investigación médica y empresas farmacéuticas que llevan a cabo investigaciones innovadoras. La investigación médica es extremadamente costosa y algunos grupos APT que se especializan en el robo de propiedad intelectual atacarán estas instituciones con mayor frecuencia en 2020.

Sus expertos subrayaban que el acceso a la información interna del paciente permite no sólo robar sino también modificar los historiales, y esto puede conducir a ataques selectivos contra individuos con el fin de modificar los diagnósticos.

Finalmente decían que, hasta el momento, afortunadamente no ha habido ataques a dispositivos médicos implantados (por ejemplo, neuroestimuladores), pero dicen que es solo cuestión de tiempo, ya que existen numerosas vulnerabilidades de seguridad en estos dispositivos. 

Los cinco principales riesgos

Para Check Point, además de la falta de concienciación de las organizaciones, éstos son los principales riesgos a los que deben hacer frente:

- Ransomware: la naturaleza crítica de los entornos médicos implica que el acceso a la información de los pacientes deba ser inmediato, a través de cualquier dispositivo y aplicación. Por tanto, detener el flujo de información por medio de este tipo de amenazas que secuestran el dispositivo y su información, supone un riesgo tremendo para las instituciones médicas.

- Fuga de datos: la filtración de datos confidenciales o sensibles hacia personas no autorizadas supone otro de los principales ciberriesgos dentro del ámbito sanitario. Este tipo de situaciones se dan, generalmente, cuando se trabaja con redes inalámbricas desprotegidas, aplicaciones no controladas por la empresa, al compartir información a través de correo electrónico, o incluso por la pérdida de dispositivos que contienen esta información y que están desprotegidos.

- Suplantación de identidad: ya sea debido a la filtración de información, o como consecuencia de la sustracción de la misma a través de ciberataques, la suplantación de identidad surge como un gran riesgo de seguridad. De esta forma, un cibercriminal que posea información sensible como contraseñas, usuarios o credenciales del personal médico, puede tener acceso a información todavía más confidencial, engañar a los pacientes, modificar los expedientes, etc. 

- Dispositivos sin actualizar: las organizaciones médicas cuentan con una gran cantidad de puntos de acceso existentes en sus redes, por lo que cualquiera de ellos puede contener vulnerabilidades que supongan un riesgo. En este sentido, es imprescindible saber que un dispositivo sin actualizar y que no tenga los últimos parches de seguridad disponible es un riesgo para la totalidad de la red, por lo que contar con las últimas actualizaciones en todos los dispositivos es imprescindible.