En estos momentos, los atacantes están ejerciendo una presión considerable sobre el sector sanitario, acaparando la actualidad informativa y situando el ransomware y otros ciberataques en el punto de mira. El sector sanitario constituye un objetivo atractivo para los ciberdelincuentes, con una media de 1.463 ataques por semana (lo que supone un aumento del 74 % con respecto a 2021). Durante los últimos doce años, el coste de una violación de la seguridad en el sector sanitario ha sido superior al de cualquier otro sector, alcanzando los 10,1 millones de dólares en 2022. Y a medida que más sistemas sanitarios adopten tecnologías digitales y conectadas, estos ataques aumentarán aún más.
¿Por qué atacar los sistemas sanitarios?
Hay varias razones por las que los atacantes se centran en el sector sanitario. La primera, por supuesto, es que, cuando hay vidas humanas en peligro, las organizaciones afectadas se ven más dispuestas a pagar el rescate para poder reanudar sus operaciones habituales —lo que, en realidad, significa prestar atención médica urgente y vital, asistir partos y proporcionar cuidados continuos a pacientes vulnerables—. El mero hecho de interrumpir las operaciones en estos entornos puede poner en peligro la vida de las personas.
En Ontario, un hospital sufrió un corte en el suministro de servicios públicos, entre los que se incluían elementos básicos como la electricidad, el agua y los sistemas informáticos esenciales. Tras declarar una situación de «Código Gris», el hospital se esforzó por prestar los servicios hospitalarios esenciales, pero instó a los pacientes con afecciones menos urgentes a buscar opciones de atención alternativas. Es probable que, incluso una vez que el ciberataque haya remitido, el sistema hospitalario tenga dificultades para volver a la normalidad.
Apenas unos días antes, un ataque contra un sistema sanitario de Florida obligó a Tallahassee Memorial HealthCare (TMH) a desconectar sus sistemas informáticos y suspender las intervenciones que no fueran de urgencia. Las repercusiones son de gran alcance para este sistema sanitario privado sin ánimo de lucro, que cuenta con hospitales de cuidados intensivos, hospitales psiquiátricos, 38 consultas médicas afiliadas y múltiples centros de atención especializada en Florida y Georgia.
Según la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA), a principios de este año, las operaciones de ransomware norcoreanas estaban extorsionando fondos y utilizándolos para respaldar las prioridades y los objetivos a nivel nacional del Gobierno de Corea del Norte. Estos ataques se dirigen contra la sanidad pública y otros sectores de infraestructuras críticas. La CISA señaló que los piratas informáticos utilizaron múltiples variantes de malware de cifrado de archivos para atacar los sistemas sanitarios de Corea del Sur y EE. UU., además de programas de cifrado desarrollados por el sector privado.
Además de los actores estatales que financian operaciones gubernamentales mediante ataques de ransomware, un grupo hacktivista llamado KillNet ha estado atacando activamente al sector sanitario estadounidense con ciberataques de denegación de servicio distribuido (DDoS), según señala el Centro de Coordinación de Ciberseguridad del Sector Sanitario. Este grupo se centra en países que apoyan a Ucrania, lanzando contra ellos ataques de denegación de servicio distribuido que provocan interrupciones del servicio que duran horas o días. Esos retrasos pueden provocar demoras en las citas, interrupciones en sistemas críticos de historias clínicas electrónicas y el desvío de ambulancias a otros sistemas sanitarios. A medida que se prolonga la guerra en Ucrania, el sector sanitario de EE. UU. debe estar aún más alerta en sus esfuerzos por prevenir las amenazas cibernéticas.
¿Cómo consiguen entrar los atacantes?
Los sistemas sanitarios son ecosistemas informáticos de una complejidad increíble. Las adquisiciones de hospitales más pequeños, las aplicaciones en la nube y SaaS implementadas sin la supervisión del equipo de seguridad, los dispositivos médicos conectados y los miles o incluso cientos de miles de activos digitales crean una superficie de ataque que puede resultar difícil de gestionar. A esto se suman las numerosas vulnerabilidades desconocidas que siempre existirán y que se aprovecharán para llevar a cabo ataques de día cero, lo que convierte a cualquier sistema sin parches en un riesgo enorme.
Con tantos puntos de acceso a la información de los seguros y a los datos de los pacientes, los equipos de TI tienen dificultades para protegerlos todos. Para complicar aún más las cosas, los médicos, fisioterapeutas, auxiliares médicos, enfermeros y los propios pacientes interactúan ahora con docenas de dispositivos, pero rara vez se trata de usuarios avanzados. Es posible que compartan contraseñas o utilicen otras fáciles de adivinar, y es poco probable que muchos de ellos utilicen eficazmente las funciones de autenticación multifactorial. Las credenciales comprometidas y la verificación de identidad poco rigurosa ofrecen a los atacantes una vía de acceso a las redes, las aplicaciones y los datos del sistema sanitario.
Reducción del riesgo de ataques y de su impacto
El mundo está cada vez más conectado, y los planes y protocolos de seguridad deben adaptarse a esta realidad. Los sistemas sanitarios pueden prepararse para los ataques estableciendo planes de respuesta bien definidos y ensayados para el caso de que se produzca uno. La realización de simulacros periódicos de ciberseguridad, con el fin de garantizar que los protocolos estén bien coordinados y actualizados, puede ayudar a los equipos de seguridad a prepararse para los ataques que parecen inevitables.
Aunque los presupuestos y los recursos de personal puedan ser limitados, invertir en tecnología adicional de «zero-trust» puede reducir considerablemente la superficie de ataque. El sector sanitario depende en gran medida del correo electrónico para la comunicación diaria y de los portales de aplicaciones web para compartir y cargar archivos y datos de pacientes. Sin embargo, ambos plantean riesgos importantes en cuanto a ransomware, robo de datos, problemas de cumplimiento normativo y otros. Las soluciones de correo electrónico ycarga de archivos de «zero-trust» que aprovechan la depuración de datos, la prevención proactiva de la pérdida de datos para eliminar la información confidencial y el análisis múltiple con varios motores antimalware ya ayudan a reducir en gran medida el riesgo de malware y ataques de día cero.
La implementación de un control de acceso de confianza cero en estos entornos complejos también puede permitir a los usuarios menos experimentados realizar comprobaciones de seguridad de forma fluida, de acuerdo con la política de seguridad de la organización, antes de conceder acceso a un sistema. A través del acceso a la red de confianza cero, las instituciones sanitarias pueden proteger el acceso a la nube, el acceso remoto y el acceso local, obtener visibilidad instantánea de quién está conectado a la red, detectar vulnerabilidades e implementar parches automatizados, así como garantizar el cumplimiento normativo y las actualizaciones de los terminales cuando sea necesario. Evitar el acceso no autorizado a los datos corporativos también puede ayudar a las organizaciones a cumplir los requisitos de la HIPAA para proteger los datos confidenciales de los pacientes frente a los atacantes.
Recuperarse de un ataque
La preparación ante un ataque es la medida más importante que puede tomar una organización para recuperarse rápidamente de un ciberataque. Dado que cada sistema sanitario tiene necesidades y recursos específicos, es fundamental involucrar a los directivos, a los expertos en seguridad y TI, a los equipos jurídicos y a los equipos de comunicación en la creación de un proceso de respuesta a incidentes viable y probado. Detectar actividades sospechosas de forma temprana e investigarlas es un primer paso importante, así como garantizar que el EDR esté habilitado. Ya sea que se trate de un equipo externo de respuesta a incidentes o de recursos internos, es esencial realizar un análisis técnico para identificar la causa del incidente, poner en marcha el plan de respuesta a incidentes (IR) y habilitar soluciones de respaldo en los puntos finales. Es importante contener a los atacantes mientras se recopilan datos forenses para las investigaciones en curso, al igual que notificar a las fuerzas del orden locales, estatales y federales. Los equipos jurídicos, de TI y de comunicación deben trabajar juntos para garantizar el cumplimiento de la normativa y limitar el posible impacto legal y reputacional de un incidente crítico.
El alcance del ataque influye en el proceso de recuperación y en los requisitos de notificación de la violación de seguridad. Una vez eliminado el ataque de ransomware o DDoS, las organizaciones deben restaurar los datos a partir de las copias de seguridad y subsanar cualquier brecha de seguridad. Aprovechando las lecciones aprendidas del ataque, los sistemas sanitarios pueden ajustar su plan de respuesta a incidentes e implementar tácticas y soluciones de seguridad que faciliten la detección y aceleren la contención de futuros ataques.
¿Quieres saber cómo OPSWAT ayudarte OPSWAT ?
