El sector sanitario y la necesidad de reforzar la ciberseguridad frente a los ciberataques
- Opinión

A medida que se moderniza, el sector sanitario se ha visto obligado a implantar un número cada vez mayor de herramientas, actividades y procesos digitales en su búsqueda de un funcionamiento eficiente: telemedicina, historias clínicas compartidas, Inteligencia Artificial (IA), robótica y dispositivos conectados. Y aunque positiva, esta transformación de la atención sanitaria y de los métodos de prestación de servicios ha tenido el efecto de acrecentar los riesgos cibernéticos, tanto para los datos como para los propios pacientes.
A este respecto, el estudio ENISA Threath Landscape 2024 recoge que, desde julio de 2023 a junio 2024, el sector sanitario registró el 4% del total de los incidentes de ciberseguridad que afectaron a las industrias y sectores más críticos de la UE. Aunque a la baja, en relación con años previos, este dato sigue siendo muy preocupante, a tenor de la capacidad que tiene un ciberataque de perturbar los sistemas informáticos y los dispositivos utilizados por los centros sanitarios, incluidos los robots quirúrgicos.
Por si esto fuera poco, la cadena de suministro del sector sanitario, que integra un tejido digital cada vez más complejo y en el que intervienen numerosos usuarios y procesos, está viéndose al mismo tiempo más comprometida. Esto significa que todos los proveedores y suministradores, desde los más grandes a los más pequeños, son susceptibles de convertirse en puerta de entrada para entidades mayores.
Además de los datos y dispositivos médicos, el perímetro de amenazas dentro de los centros sanitarios también incluye las infraestructuras técnicas, que abarcan desde la Gestión Técnica Centralizada (GTC) hasta los Sistemas de Gestión de Edificios (SGE). Por supuesto, cualquier mínima interrupción o fallo puede tener graves consecuencias.
Cuatro áreas de ciber riesgo
En el sector sanitario, los puntos de entrada de los ciberdelincuentes se agrupan principalmente en cuatro vectores. El primero de ellos es el factor humano, con ciberataques que utilizan o tienen como objetivo a una o varias personas: médicos, enfermeras, administradores e incluso pacientes. El software es también crítico, con ataques que explotan una debilidad o fallo o se aprovechan del software obsoleto instalado en los equipos informáticos o biomédicos conectados.
Las redes de los centros sanitarios son también un objetivo, con técnicas como ataques DDoS, que, aunque fáciles de contrarrestar, pueden dejar fuera de servicio los servidores que soportan una infraestructura en un momento determinado. Por último, el vector físico es explotado por atacantes que se dirigen específicamente a la parte hardware de los equipos médicos, informáticos u operativos.
Independientemente del vector de ataque elegido por el ciberdelincuente, la “carga viral” más común en el sector sanitario es el ransomware. A este respecto, el estudio de ENISA revela que el sector sanitario aglutinó el 8% del total de ataques de ransomware que afectaron a entidades y organizaciones europeas pertenecientes a todos los sectores de actividad.
Limitar los daños y aumentar la capacidad de detección
Con cada vez más dispositivos y sistemas conectados a sus redes, las organizaciones sanitarias deben tomar las medidas necesarias para reducir los riesgos.
Como primera medida, una auditoría ayudará a estimar la superficie de ataque y a identificar los activos más sensibles, a fin de establecer una política de seguridad adecuada. Tras este análisis, ya se pueden desplegar soluciones de seguridad específicas para proteger la red, los puestos de trabajo y los datos.
El planteamiento de Confianza Cero ayuda a reducir el riesgo de éxito de los ciberataques imponiendo una verificación sistemática, rigurosa y continua de las identidades de los usuarios y de sus derechos de acceso. Al exigir la autenticación multifactor, la supervisión continua y el análisis de comportamiento para cada inicio de sesión, el modelo de Confianza Cero limita la capacidad de los atacantes para moverse lateralmente dentro de la red. De igual modo, y al aplicar el principio del menor privilegio, permite minimizar el impacto potencial de un eventual compromiso de los datos, restringiendo los recursos a los que pueden acceder los atacantes.
Por otra parte, las soluciones XDR (eXtended Detection and Response) y EDR (Endpoint Detection and Response) son también componentes esenciales de una estrategia de ciberdefensa, ya que permiten a estos centros beneficiarse de capacidades avanzadas para detectar, responder y mitigar incidentes de seguridad, limitando así las consecuencias de un potencial ciberataque.
Educar y formar a los profesionales sanitarios
La modernización de las redes y de la tecnología digital en la sanidad debe ir acompañada de una formación del personal sanitario para adoptar buenas prácticas en materia de ciberseguridad, como el uso de contraseñas seguras y la lectura crítica de la información que se comparte.
Un personal informado que actúe con coherencia en beneficio de la seguridad de los establecimientos sanitarios es esencial para su cibersalud, y contribuye a limitar los riesgos de compromiso. Con este conocimiento de los riesgos, el personal podrá reconocer fácilmente las técnicas maliciosas, en particular el phishing y los deepfakes, y evitar ser engañado.
En un momento de especial tensión, las organizaciones tienen una importante misión que cumplir a la hora de garantizar su propia ciberseguridad, y por tanto proteger a sus pacientes, además de acatar la legislación.
Junto con el cumplimiento de la normativa europea, como NIS2 y GDPR, las organizaciones sanitarias deben prepararse para hacer frente a incidentes de ciberseguridad que ahora parecen inevitables, y asumir que tarde o temprano serán víctimas de un ataque. Este es un factor clave para reducir el riesgo de que los datos se vean comprometidos, evitar paradas de equipos y dispositivos y, a fin de cuentas, garantizar la seguridad no solo de la red, la infraestructura y los datos, sino también -y, sobre todo- de la salud de los pacientes.
Por Vincent Nicaise, Industrial Partnership and Ecosystem Manager en Stormshield