Si bien los hospitales, así como organismos y empresas vinculadas al sector de la salud, desde hace ya un tiempo se destacan por ser uno de los principales blancos de ataque para los cibercriminales, en un contexto como el actual que nos encuentra enfrentando una pandemia, un ataque informático a un hospital podría tener consecuencias aún más severas. Lamentablemente, en varios países en los cuales el sistema sanitario se encuentra colapsado a raíz de la alta tasa de contagios que tiene el COVID-19, los ataques dirigidos a el sector de la salud parecen no detenerse.
Sin ir más lejos, este mes INTERPOL emitió un comunicado alertando sobre un crecimiento significativo de ataques de ransomware apuntando a hospitales en distintos países del mundo. En Estados Unidos, el FBI por su parte publicó recientemente una alerta como consecuencia del incremento de engaños dirigidos a organizaciones de la salud y entidades gubernamentales. Esta misma semana lanzó una nueva advertencia en la que hacía referencia a correos de phishing dirigidos a proveedores del sector de la salud en aquel país. Por si esto fuera poco, la principal agencia de ciberseguridad de República Checa publicó la semana pasada una advertencia manifestando su preocupación ante un posible ataque a gran escala especialmente dirigidos a hospitales y el sector de la salud en general.
Para comprender más este escenario, analizamos las razones que hacen del sector de la salud un blanco atractivo para los cibercriminales.
En primer lugar, es importante aclarar que los actores maliciosos siempre aprovechan los temas de interés para planificar sus ataques. Un ejemplo de esto ha sido el importante el incremento que han tenido en los últimos meses las campañas maliciosas que intentan aprovechar el tema del coronavirus para engañar a los usuarios y lograr comprometer sus dispositivos, pero también lo ha sido el interés explícito de los cibercriminales en la clandestinidad de la dark web que analizan cómo aprovechar la situación actual del coronavirus para sus ataques.
Un sector crítico
El sector de la salud cumple un rol vital para el bienestar de una sociedad, ya que trabaja nada más ni nada menos que con la salud de las personas. Esto lo convierte en un blanco perfecto para la extorsión mediante un ataque de ransomware, dado que, como la interrupción en la continuidad de los servicios que brindan puede tener un impacto significativo para la comunidad, esto genera la necesidad de resolver con urgencia cualquier tipo de incidente, lo cual es un punto a favor en la negociación para un cibercriminal.
Pero además de la esencialidad del rol que ocupa la industria de la salud, otros aspectos lo hacen un blanco de interés, como son la falta de capacitación en seguridad de los profesionales de la salud; la existencia de múltiples vulnerabilidades por el uso de software obsoleto; la multiplicidad de dispositivos IoT que se utilizan, o la sensibilidad de la información que manejan.
Sensibilidad de los datos y la información
“Los informes médicos de los pacientes contienen información privada y personal vinculada a aspectos de la vida de las personas, lo cual puede derivar, en caso de caer en manos indebidas, a la extorsión por parte de cibercriminales que pueden intentar amenazarlos con divulgar esta información sensible”, explicó hace aproximadamente un año la Oficina de Derechos Civiles de los Estados Unidos. Además, alertó sobre algunas prácticas prevalentes y emergentes por parte de los cibercriminales que el sector de la salud debería tener presente para evitar ser víctima de un incidente de seguridad.
A los reportes médicos debemos sumar otra información sensible que maneja esta industria: el desarrollo de nuevas drogas y tratamientos, datos de investigaciones médicas, resultados pruebas de tratamientos experimentales, y datos genéticos, entre otros.
En este contexto, un ataque de ransomware, por ejemplo, dejaría a un médico sin acceso a registros de salud en medios electrónicos y sin la posibilidad de utilizar métodos de evaluación informáticos debido al incidente.
Los ciberataques al sector de la salud no son de ahora
Las violaciones de datos y los ataques de ransomware que sufrieron en 2019 las organizaciones de salud de los Estados Unidos representaron un costó al sector estimado en $ 4 mil millones de dólares. Cinco organizaciones de atención médica de dicho país informaron ataques de ransomware en una sola semana en junio del año pasado, lo que provocó que, por ejemplo, un centro de prácticas médicas en el estado de Michigan cerrara después de negarse a pagar un rescate a los atacantes.
En una comparación realizada entre sectores como educación, atención médica, finanzas y servicios profesionales en general, el porcentaje de ataques dirigidos a entidades de atención médica representó el 41%, siendo el más alto entre los sectores. Asimismo, se detectó que los ataques son cada vez más severos y sofisticados.
Casos de ciberataques a hospitales y centros de salud
En los últimos años se han registrado una gran cantidad de casos de ataques informáticos a hospitales, organizaciones y empresas del sector sanitario en distintos países. En cuanto a brechas de datos, el laboratorio clínico norteamericano, Quest Diagnostics, que opera en Estados Unidos, Reino Unido, México y Brasil, fue víctima de una brecha de datos que se conoció a mediados de 2019 y afectó a casi 12 millones de pacientes.
El cuanto a los ataques de ransomware, el brote de WannaCry en 2017 infectó a 700.000 equipos en 16 hospitales y centros de salud en Reino Unido, provocando la imposibilidad de que los profesionales puedan acceder a las computadoras y la necesidad de cancelar las citas de los pacientes. Pero en los años siguientes también se registraron varios ataques de ransomware y 2019 no fue la excepción.
En Francia, por ejemplo, uno de estos ataques ocurridos el pasado año provocó un apagón informático en 120 hospitales del país, y si bien no tuvo consecuencias para los pacientes, obligó a los profesionales a tener que recurrir al lápiz y al papel. Algo similar ocurrió en hospitales y servicios de salud en Australia y Estados Unidos en la segunda mitad de 2019, cuando varios hospitales y proveedores de la salud se vieron afectados por ataques de ransomware que forzaron a apagar parte de sus sistemas e imposibilitaron el acceso a las computadoras comprometidas.
En enero de 2020, un ataque al Hospital Universitario de Torrejón, en Madrid, afectó la disponibilidad de varios de sus sistemas informáticos. Si bien no se dieron a conocer detalles del incidente, el parecer se trató de un ataque de ransomware, ya que el malware utilizado bloqueó los sistemas imposibilitando el acceso a las historias clínicas de los pacientes y obligando a los profesionales a realizar los informes médicos de forma manual. Casi un mes después del incidente, el hospital había logrado recuperar el 80% de los sistemas informáticos.
Ecosistema vulnerable
Otro aspecto que hace vulnerable a este sector es el uso de software desactualizado o no compatible. Esto en parte se explica por la falta de un incentivo financiero para reparar los dispositivos médicos de los pacientes y también debido a la dificultad de aplicar las actualizaciones de seguridad por la complejidad operacional. En este sentido, un informe publicado por Forescout el año pasado aseguró que a comienzos de este año un 70% de las computadoras en el sector de la salud estarían utilizando un sistema operativo sin soporte, como es Windows 7, para el cual Microsoft dejó de brindar soporte y actualizaciones de seguridad desde enero de este año. El escenario es más preocupante aún si consideramos que un estudio global publicado a mediados de 2019 por la empresa Armis reveló que en los seis meses previos el 40% de las instituciones médicas (hospitales, clínicas, etc.) fueron impactadas por el ransomware WannaCry; un código malicioso que causó estragos a nivel mundial en 2017 a raíz de una vulnerabilidad que dos años después continúa sin parchearse en múltiples dispositivos en actividad en este sector.
Dispositivos IoT en el sector de la salud: una amplia superficie de ataque
Otro elemento a considerar es el crecimiento en la integración de dispositivos médicos conectados a Internet, una tendencia que según se estima continuará. Sin embargo, esto supone un gran riesgo para la seguridad al representar una superficie vulnerable a ataques informáticos. En la actualizad hay en uso millones de dispositivos IoT médicos conectados a pacientes brindando información de su estado de salud. Sin embargo, datos de una encuesta realizada por Irdeto en 2019 a profesionales de la seguridad que se desempeñan en el sector de la salud arrojaron que durante el último año, 8 de cada 10 organizaciones de este sector en los Estados Unidos sufrió un ataque dirigido a dispositivos IoT, y que el 30% de esos ataques han comprometido la seguridad del usuario final. Y si bien los resultados de la encuesta muestran que las organizaciones de atención médica saben dónde existen las vulnerabilidades críticas en su infraestructura, los datos demuestran que no necesariamente cuentan con todo lo que necesitan para poder abordadlas, explica un artículo publicado por FierceHealthcare.
Consecuencias de los ciberataques al sector de la salud
Según un estudio publicado en setiembre de 2019 elaborado por investigadores de la Universidad de Vanderbilt y de la Universidad Central de Florida, en Estados Unidos, quienes estudiaron la tasa de mortalidad para ataques cardíacos en más de 3.000 hospitales a lo largo del país (de los cuales más de 300 sufrieron una brecha de datos), aseguran que existe una relación entre el aumento de la tasa de mortalidad y los ataques informáticos.
De acuerdo con la investigación, los hospitales que en años anteriores sufrieron una brecha de datos a raíz de un ataque informático tardaron un promedio de 2.7 minutos más en proporcionar un electrocardiograma a los pacientes. Además, en esos hospitales se registraron 36 muertes por cada 10.000 ataques cardíacos en comparación con aquellos hospitales que no sufrieron un incidente de seguridad. Esto se debe a que el retraso en los tiempos de tratamiento fue no solo consecuencia de la brecha sufrida, sino también a los cambios a nivel tecnológico implementados por los hospitales con el que tuvo que lidiar el personal médico y enfermeros durante el proceso de recuperación de la violación de datos.
En cuanto al costo que tiene un ataque informático a este sector, un estudio de Frost & Sullivan aseguró que en los países de Asia-Pacífico, un ciberataque podría representar un costo de más de 23 millones de dólares a una organización de atención médica debido a razones directas e indirectas. Asimismo, además de los costos de la recuperación, otras consecuencias de los ataques informáticos para este sector es la pérdida de clientes, lo que ha derivado en la pérdida de empleos.
COVID-19 y ataques al sector de la salud
Como mencionamos en el inicio de este artículo, varias organizaciones han alertado en las últimas semanas sobre el incremento de campañas maliciosas que intentaban sacar provecho a la preocupación por el avance de la pandemia del COVID-19 y también sobre el interés en particular del sector de la salud como blanco de sus ataques.
Si bien algunos de los grupos detrás de las familias de ransomware con mayor actividad en el último tiempo, como es el caso del ransomware Maze, han comunicado que no atacarían a hospitales, otros cibercriminales continúan dirigiendo sus ataques al sector sanitario durante la pandemia, como es el caso del ransomware Ryuk o el reciente ransomware Netwalker, también conocido como Malito, que está llevando una campaña maliciosa dirigida especialmente a trabajadores y organismos sanitarios, aseguraron autoridades de España. De hecho, el 10 de marzo un ataque del ransomware Netwalker provocó la caída del sitio web de un organismo de la salud pública del estado de Illinois.
Por otra parte, el 13 de marzo pasado el Hospital Universitario de Brno, en República Checa, donde funciona uno de los 18 centros de pruebas sobre el coronavirus en el país europeo, fue víctima de un ciberataque, al tiempo que en la noche del 15 de marzo, el sitio web del Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) recibió un ataque de Denegación de Servicio Distribuido (DDoS) que aparentemente tenía como objetivo afectar la información y debilitar la respuesta de en el marco de la pandemia. Otro ejemplo más se dio el 23 de marzo en un ataque fallido dirigido a hospitales de París.
Ante este panorama, tanto los gobiernos como las distintas organizaciones y entidades que componen el sector de la salud en los distintos países deberán estar atentos y definir medidas tomarán para evitar sufrir un incidente de seguridad. “Estamos en un momento en el cual garantizar el normal funcionamiento de las entidades de salud se vuelve prioritario para atender la situación que enfrentamos con esta pandemia. Es por esto que no se puede descuidar todo lo relacionado con la seguridad informática, ya que es un punto crítico que si no es manejado de forma adecuada puede ser aprovechado por los cibercriminales para entorpecer el normal funcionamiento de las entidades de salud. La transformación digital ha llegado a las entidades de salud, y esta transformación debe hacerse de manera segura, cuidando la disponibilidad y privacidad de los datos. Si bien este proceso supone un reto adicional para este tipo de entidades, el mismo debe afrontarse para garantizar el uso seguro de la tecnología”, comentó el Jefe del Laboratorio de ESET Latinoamérica, Camilo Gutiérrez.
Algunas instituciones, como el Departamento de Salud y Servicios Humanos de los Estados Unidos, publicaron prácticas de seguridad dirigidas especialmente para la industria de la salud. Asimismo, en WeLiveSecurity encontrará un repositorio con guías prácticas que responden a muchas necesidades y serán de ayuda para abordar diferentes aspectos de la seguridad de una organización.
Fuente y redacción: welivesecurity.com