La intromisión en los sistemas operativos de la industria de la salud por medio de ransomware ha sido la principal preocupación de la mayoría de las organizaciones dedicadas a este rubro desde que se inició la pandemia de covid en 2020. Ello se debe a que este virus cibernético logra interrumpir las operaciones de las empresas y desencadenar consecuencias tan negativas en la atención que se llega a poner en riesgo la vida de muchos pacientes, destaca un informe elaborado por Health-ISAC y Booz Allen Hamilton que lleva por título Panorama actual y emergente de amenazas cibernéticas para la atención médica.
Las firmas autoras del documento añaden que, además de las afectaciones relacionadas con la atención a la salud, también hay daños financieros inmediatos atribuibles al rescate que el hampa exige por la información, al costo de la reparación y al daño (reputacional) hacia la marca y más. Los daños colaterales muestran que los atacantes continúan evolucionando y refinando sus tácticas.
Los ejecutivos de Health-ISAC y Booz Allen Hamilton presentaron las siguientes cinco principales preocupaciones de seguridad cibernética que enfrentan las organizaciones para 2021 y 2022.
1. Intrusiones por medio de ransomware.
2. Ataques de phishing y spear-phishing.
3. Violación de datos pertenecientes a terceros o socios.
4. Violación de información en general.
5. Amenazas internas.
Proyección sobre amenazas para 2022
Debido al conflicto bélico entre Rusia y Ucrania, Health-ISAC y Booz Allen Hamilton vaticinan que la mayoría de las amenazas contra la atención médica en las naciones se centrarán en el robo de propiedad intelectual (PI), y la actividad delictiva se centrará en estrategias económicas, como la obtención de datos confidenciales sobre acuerdos comerciales, negociaciones y rutas de suministro en mercados globales competitivos.
Las empresas autoras del reporte agregan que es probable que algunos actores de las naciones en conflicto puedan utilizar organizaciones ciberdelictivas como parte de sus operaciones ofensivas para extraer datos confidenciales del país enemigo mediante ataques de ransomware.
Por otra parte, aunque el cambio de registros de salud en papel a registros de salud electrónicos ha facilitado que la información del paciente sea más accesible, también la hizo más vulnerable a los ciberataques, que son extremadamente lucrativos debido a la delicadeza de la información robada.
Un ejemplo de esto es que los delincuentes pueden llegar a recibir un dólar por cada número de seguro social robado o por cada número de tarjeta de crédito, pero pueden exigir 50 dólares por un registro parcial de salud.
Un punto muy importante en este asunto es que, si la información confidencial del paciente no está protegida, los proveedores de atención médica se enfrentan a costosos dilemas legales, éticos y morales debido a que los dispositivos médicos remotos son menos seguros y no se actualizan fácilmente, lo que crea más puntos de acceso para que los atacantes obtengan datos de salud confidenciales.
Cuando se ataca a la industria de la salud, señalan las empresas autoras del estudio, se provocan interrupciones en los registros de pacientes, servicios quirúrgicos, dispositivos médicos y sistemas de citas. Y todo ello puede llevar a la cancelación de la atención de emergencia con que se salvará a un paciente en riesgo de morir. La consecuencia inevitable es la pérdida de vidas.
“La industria de la salud está especialmente en riesgo debido al valor de la información confidencial alojada dentro de sus sistemas. Esta vulnerabilidad mayor obedece a un aumento en la información que circula a través del internet de las cosas médicas (IoMT), a la insuficiente protección de seguridad cibernética, a la exigencia de transparencia de datos y a una concientización ineficaz de los empleados”, dicen las firmas autoras del informe.
Muchas de estas vulnerabilidades tecnológicas a menudo se deben a que los proveedores de atención médica confían en sistemas heredados y en sistemas informáticos obsoletos que todavía están en uso pero que brindan menos protección y mayor susceptibilidad a un ataque, resalta el documento.
También se explica que los ataques más recientes contra la atención médica en 2022 apuntan a los sistemas críticos para las operaciones de las organizaciones de atención médica como un medio para obligarlas a pagar el rescate rápido y no dar tiempo a la investigación o el examen forense antes de pagar el rescate exigido.
Health-ISAC y Booz Allen Hamilton alertan que los dispositivos médicos siguen siendo un punto de acceso muy atractivo para las operaciones de los ciberdelincuentes debido a sus sistemas obsoletos y las irregulares actualizaciones de software. Sin embargo, no hay indicios de que las bandas de ciberdelincuentes tengan la intención de amenazar la vida de los pacientes como método para cobrar el rescate por cierta información.
El objetivo de las bandas de delincuentes cibernéticos que actúan contra las organizaciones de atención médica se centra en el daño a la marca, la pérdida de producción y el retraso de la atención básica para motivar a las organizaciones a pagar el rescate. Estas bandas también son conscientes del estricto entorno normativo en materia de protección de datos de salud de los pacientes.
Recomendaciones para mitigar las amenazas
Defensa en capas: adopte un enfoque de defensa en capas en el que la pila de seguridad de su organización esté en capas con defensas y tecnologías de protección implementadas desde el perímetro y hacia adentro en cada host de su red.
Segmentación de la red: implemente la segmentación de la red y despliegue firewalls para mitigar el riesgo planteado por los autores de las amenazas.
Endpoint Security: implemente un producto de seguridad de endpoint o un sistema de detección de intrusiones en el host (HIDS), que opera con reglas basadas en el comportamiento y puede bloquear la ejecución de PowerShell o cmd.exe generado desde las aplicaciones de Microsoft Office.
Controles de acceso: instale controles de acceso basados en funciones, canales seguros de acceso remoto y registro y monitoreo eficientes del sistema para limitar la eficacia de los intentos de vulneración y amenazas y aumentar la probabilidad de detección.
Prevención y detección: implemente contramedidas para mitigar ataques en el perímetro de la red. Esto incluye reglas de firewall utilizadas para bloquear puertos no utilizados y denegar solicitudes HTTP a puertos no estándar, filtrado de contenido para permitir que los usuarios solo accedan a sitios confiables, restricción de la navegación de los usuarios con privilegios de administrador local en sus máquinas y sistemas de prevención de intrusiones para detectar y bloquear el tráfico malicioso en el entorno.
Respaldo de datos: confíe en respaldos frecuentes, segmentados y redundantes como la mejor manera de restaurar archivos cifrados en caso de una infección de ransomware.