Los ciberataques contra el sector de la salud ponen en riesgo el bienestar de las personas
Tabla de contenidos
Los ciberataques contra el sector de la salud no solo tienen consecuencias económicas, sino que pueden afectar al bienestar de las personas
A comienzos de año, y con escasos días de diferencia, uno de los principales hospitales de España, el Clínic de Barcelona, y una de las grandes mayoristas de medicamentos, Alliance Healthcare sufrieron sendos incidentes de seguridad que paralizaron sus actividades. Los ciberataques contra el sector de la salud no han dejado de crecer en los últimos tiempos, afectando a hospitales, centros de salud, compañías de seguros médicos, centros de investigación o farmacéuticas de todo el mundo.
Sin ir más lejos, en agosto un ciberataque masivo causó la disrupción de los servicios de decenas de hospitales en Estados Unidos. Un incidente que provocó el cierre de unidades de servicios de emergencia. Y lo que es peor, el proceso de recuperación se alargó durante semanas. El ataque ha supuesto un impacto económico y reputacional de enorme calibre para las compañías involucradas y, lo que es más importante, ha repercutido en el bienestar de sus pacientes. Pero también del conjunto de las poblaciones que dependen de los servicios de emergencia cerrados.
Para hacer frente a esta tendencia, la Unión Europea aprobó el año pasado la directiva NIS2, que busca fortalecer la seguridad de los sectores estratégicos, entre los que se incluye el sector de la salud. Esta normativa incluye obligaciones en materia de gestión de riesgos de ciberseguridad, mecanismos de comunicación de incidentes y sanciones administrativas para sancionar a las empresas incumplidoras.
Además, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) acaba de publicar su primer estudio sobre los ciberataques contra el sector de la salud y las amenazas que se ciernen sobre él.
A continuación, vamos a analizar las claves de los ciberataques contra el sector de la salud y poner en valor la necesidad de que las organizaciones que operan en él dispongan de servicios de ciberseguridad y eviten que los incidentes lleguen a afectar al bienestar de las personas.
1. Los activos de las organizaciones sanitarias y su ciberexposición
En primer lugar, debemos tener en cuenta cuáles son los activos que deben proteger las compañías e instituciones que operan en el sector de la salud. Estos activos incluyen, tantas cuestiones directamente ligadas con la salud:
- Información médica.
- Sistemas y servicios sanitarios.
Así como otros aspectos esenciales para cualquier organización del sector:
- Sistemas IT no directamente relacionados con la salud.
- Datos empresariales e información sobre los trabajadores, como los datos financieros o los documentos estratégicos.
- Propiedad intelectual.
Sin olvidarnos del activo más valioso, sobre todo para las compañías e instituciones que prestan servicios sanitarios: los pacientes.
Todos ellos deben tenerse en cuenta a la hora de diseñar una estrategia de seguridad eficaz.
La revolución tecnológica en la que vivimos y la digitalización de la sociedad han repercutido en todos los sectores económicos, incluido, claro está, la salud. De ahí que incluso se hable de salud 4.0, sobre todo a raíz de la pandemia y el auge de la telemedicina.
La información médica está plenamente digitalizada. Los dispositivos IoT han transformado la actividad médica, la incorporación del Big Data, el Machine Learning y soluciones punteras de Inteligencia Artificial están transformando la investigación farmacológica. Además, el mundo asiste al desarrollo de nuevas técnicas y mejoras sustanciales en la detección, el diagnóstico y el tratamiento de enfermedades y lesiones.
Esto implica que el nivel de ciberexposición de las organizaciones sanitarias ha aumentado de forma decisiva en los últimos tiempos. De ahí que los ciberataques contra el sector sanitario no solo estén proliferando, sino que el impacto de los incidentes de seguridad en hospitales, farmacéuticas o aseguradoras puede ser mayúsculo y repercutir en el bienestar de las personas.
2. El innegable valor de los datos médicos
En los últimos años, los ataques con ransomware se han convertido en una de las principales amenazas para las empresas y las administraciones públicas, sin importar su sector económico o su tamaño. El robo, secuestro y exfiltración de información confidencial y de datos privados es el objetivo prioritario de la mayoría de ciberdelincuentes.
Ya sea porque desean enriquecerse cobrando los rescates para devolver los datos a sus legítimos dueños, o bien porque emplean la información para vendérsela a la competencia. Incluso para exfiltrarla y dañar la reputación de una organización o menoscabar el tejido productivo o el sistema democrático de un país.
A menudo, se dice que los datos son el petróleo de esta era. Pues bien, nadie lo tiene más interiorizado que los actores hostiles.
Aunque los datos financieros de las empresas y sus clientes son un objetivo codiciado por numerosos ciberdelincuentes, no debemos perder de vista el valor de los datos médicos.
De hecho, según el estudio de ENISA sobre los ciberataques contra el sector de la salud, casi la mitad de ellos buscan acceder a información de forma indebida, procediendo a revelarla, manipularla, secuestrarla, impedir el acceso legítimo a ella o venderla. ¿De qué datos estamos hablando?
- Datos de pacientes e historiales clínicos. En la mayoría de los casos analizados por ENISA relacionados con el robo o revelación de información confidencial se constató que los datos de los pacientes se vieron afectados.
- Propiedad intelectual. Hospitales, farmacéuticas, centros de investigación médica… Para muchas organizaciones sanitarias la protección de su propiedad intelectual es de vital importancia y su vulneración puede reportar pérdidas competitivas y económicas cuantiosas.
- Otros datos de las compañías. Como el resto de empresas, las organizaciones de la salud almacenan información confidencial sobre ellas mismas y sus trabajadores: datos financieros, credenciales, información corporativa estratégica…
2.1. Rescates, espionaje industrial y menoscabo de la privacidad de las personas
¿Qué pueden hacer los actores hostiles con los datos obtenidos durante un ataque contra una compañía o institución del sector de la salud?
Sus usos son múltiples. Desde la extorsión para devolver los datos secuestrados, hasta la comercialización de datos confidenciales sobre tecnologías, investigaciones e innovaciones a estados enemigos y compañías de la competencia.
En ocasiones los datos obtenidos de forma ilícita se revelan públicamente con el único fin de socavar la credibilidad y posición de una compañía en el mercado.
Asimismo, debemos tener en cuenta la repercusión de los ciberataques contra el sector de la salud sobre las personas. Si un grupo delictivo revela los datos médicos de un paciente puede provocarle un perjuicio social y económico mayúsculo. Por ejemplo, al revelar que un directivo de una empresa padece una enfermedad grave o que un deportista de élite sufre una patología que no desea hacer pública.
De todas las esferas que conforman nuestra vida privada, la salud es una de las más sensibles y de las que protegemos con mayor celo. Los ciberataques contra el sector de la salud pueden provocar un doble impacto. En primer lugar, en las organizaciones atacadas. En segundo lugar, en los pacientes o personas vinculadas a ellas.
Si los datos de un paciente hospital se hacen públicos, este perderá su confianza en la institución médica de manera irrevocable.
3. La continuidad de negocio adquiere otro cariz en los ciberataques contra el sector de la salud
Si la protección de los datos de las empresas es un aspecto central de cualquier estrategia de ciberseguridad, el mantenimiento de la continuidad de negocio no se queda atrás.
Para las compañías resulta de vital importancia disponer de unas capacidades defensivas lo suficientemente sólidas. Un muro de defensa para evitar que los incidentes de seguridad paralicen la actividad empresarial y conseguir recuperar la normalidad en el menor tiempo posible.
En lo que respecta al sector de la salud, la continuidad de negocio es esencial. Sobre todo, para las organizaciones que prestan servicios médicos (hospitales, centros de salud, clínicas odontológicas, centros sociosanitarios, clínicas de salud mental…). ¿Por qué? La paralización de sus servicios no solo supone pérdidas económicas y el menoscabo de su reputación, sino que afecta directamente a la salud de los pacientes.
El incidente de seguridad que sufrieron el Hospital Clínic y tres centros de atención primaria barceloneses provocó la cancelación de las consultas externas, la paralización de servicios tan relevantes como la radioterapia oncológica y la derivación de los casos de infartos o ictus a otros centros.
Al igual que sucede, por ejemplo, en el sector de la industria, los ciberataques contra el sector de la salud pueden tener consecuencias directas que afectan a la integridad y bienestar de las personas y pueden llegar a causar el agravamiento de enfermedades y patologías e, incluso, fallecimientos.
4. Tipologías de ciberataques contra el sector de la salud
¿Cuáles son los tipos de ciberataques contra el sector de la salud más empleados por los actores hostiles? Según ENISA, al igual que sucede en muchos otros sectores económicos, los ataques de ransomware son los más comunes, si bien, hay que prestar atención a otras amenazas como los ataques DDoS, las técnicas de ingeniería social o los ataques de cadena de suministro.
4.1. Ransomware y malware
El estudio realizado por ENISA sobre los ciberataques contra el sector de la salud que se produjeron entre 2021 y el primer cuatrimestre de 2023, casi 6 de cada 10 incidentes fueron resultado de la ejecución de un ransomware o un malware. De hecho, esta agencia ha identificado a algunos de los principales grupos de ransomware detrás de muchos de los incidentes analizados, como LockBit o BlackCat, que han implementado modelos de Ransomware-as-a-Service.
Los ataques de ransomware están enfocados, sobre todo, a robar, secuestrar o filtrar datos. Y, en algunos casos, han provocado la interrupción de servicios médicos, así como de otra clase de servicios de las organizaciones atacadas, pudiendo llegar a afectar, directamente, a la salud de las personas, como consecuencia del cierre de unidades, la suspensión de intervenciones quirúrgicas o el retraso de tratamientos.
Mientras que la ejecución de malware afecta, sobre todo, a servicios y procesos no relacionados con la salud, como los servicios de emails de las compañías atacadas. La ejecución de malware se usa de forma conjunta con técnicas de ingeniería social para poner en marcha campañas dirigidas a los pacientes y clientes de las organizaciones.
4.2. Ataques DDoS
Aunque los ataques DDoS son menos comunes que los de ransomware, cada vez son más numerosos. ¿Cuál es su objetivo? Impedir el acceso a información relevante, como los datos médicos de los pacientes, así como a otros servicios y recursos.
Uno de los motivos del auge de esta tipología de amenaza es la consolidación de plataformas de DDoS-as-a-Service. De hecho, este mismo año, Instituciones médicas de Estados Unidos, Reino Unido y los principales países de la Unión Europea, incluido España, sufrieron ataques DDoS lanzados a través de la plataforma Passion.
Los ataques DDoS son ejecutados por hacktivistas. Pero también por grupos delictivos asociados a estados que desean desestabilizar a las democracias occidentales, como Rusia, así como por cibercriminales que buscan obtener ganancias económicas gracias al pago de un rescate para evitar un ataque o pararlo.
4.3. Otros
Las técnicas de ingeniería social pueden ser empleadas para lograr acceder a información confidencial o servicios de las organizaciones del sector. De tal forma que se usan de forma conjunta con la ejecución de ransomware o malware, por ejemplo, enviando emails a profesionales de una compañía incitándolos a descargar y abrir un archivo malicioso.
El auge de los ataques de cadena de suministro es una de las tendencias más importantes en el terreno de la ciberseguridad. De ahí que tengamos que tener en cuenta estos ataques en lo que respecta al sector de la salud.
Los actores hostiles pueden atacar a un proveedor de una compañía, así como explotar vulnerabilidades presentes en alguno de los componentes de las aplicaciones y los dispositivos que emplean. Evaluar la seguridad de la cadena de suministro y emplear software seguro desde el diseño es fundamental.
Aunque no se traten de ataque en sí mismos, la comisión de errores humanos, las configuraciones erróneas, la falta de actualizaciones y las prácticas de ciberseguridad inseguras pueden convertirse en brechas de seguridad. Incidentes por donde se pueden colar los actores hostiles para robar información, paralizar la continuidad de negocio y generar daños económicos, reputacionales y humanos.
5. ¿Quién y por qué ataca a las organizaciones sanitarias?
A la luz de los múltiples incidentes de seguridad que se han registrado en los últimos años, podemos hacer una radiografía de los actores hostiles y de las motivaciones que los mueven a lanzar ciberataques contra el sector de la salud. En lo que respecta a los actores detrás de un incidente de seguridad, ENISA diferencia entre cinco grandes tipos:
- Cibercriminales. Los grupos de delincuentes suponen la mayor amenaza para las compañías y administraciones públicas relacionadas con el sector de la salud y el bienestar. Sus objetivos suelen ser de índole económica, por ejemplo, exigiendo el pago de un rescate a cambio de habilitar el acceso a la información que han robado.
- Grupos esponsorizados por estados. Los hospitales, las farmacéuticas o los centros de investigación son organizaciones sensibles para cualquier país, de ahí que los delincuentes directamente relacionados con los estados puedan atacarlas para comprometer su funcionamiento u obtener información confidencial.
- Hacktivistas. Los ciberataques contra el sector de la salud generan una enorme atención mediática, de ahí que sean un target interesante para los hacktivistas.
- Atacantes internos. Profesionales de la organización o ex – trabajadores con objetivos diversos: venganza personal, extorsión, espionaje industrial…
- Errores humanos. En algunas ocasiones, los profesionales de una organización no buscan atacarla de forma premeditada, pero sus actuaciones (o la ausencia de ellas) provocan un incidente o abren una brecha de seguridad.
En cuanto a las motivaciones de los actores hostiles, podríamos resumirlas en tres tipos:
- Ganancias económicas. Es el motivo principal de la mayoría de los ciberataques contra el sector de la salud, ya sean ejecutados por cibercriminales o por atacantes internos.
- Espionaje. Para obtener información industrial o datos útiles para atacar al sector de un país o al estado en su conjunto.
- Ideológico.
6. Directiva NIS2: Obligaciones legales para fortalecer la seguridad del sector de la salud
A finales de 2022 se aprobó definitivamente la directiva NIS2, una actualización de la directiva Network and Information Security. La nueva norma tiene como objetivo crear un marco normativo común que sirva para incrementar el nivel de protección de las empresas de los sectores críticos europeos. Entre dichos sectores se encuentra, como no podía ser de otra manera, la salud.
¿Quiere esto decir que todas las empresas del sector de la salud deberán cumplir con la normativa? No. Las empresas pequeñas quedarán exentas. Al fin y al cabo, no se le puede exigir un nivel de protección similar a un gran laboratorio farmacéutico que a una pequeña clínica odontológica.
6.1. Requisitos de seguridad a implementar
¿Cuáles son los requisitos de seguridad que contempla la directiva NIS2 para las compañías relacionadas con la salud y el bienestar?
- Análisis de riesgo.
- Gestión de incidentes (prevención, detección, respuesta y recuperación).
- Continuidad de negocio.
- Securización de la cadena de suministro.
- Protección de las redes y sistemas informáticos.
- Diseño de políticas para evaluar la eficacia de las medidas implementadas para gestionar los riesgos y las amenazas.
- Uso de criptografía y cifrado.
También se contemplan obligaciones rigurosas en materia de notificación de los incidentes a las autoridades pertinentes.
¿Qué sucede si se incumplen? Las sanciones administrativas pueden ascender hasta los 10 millones de euros o el 2% del volumen de negocios de la compañía sancionada.
Debemos indicar, eso sí, que, al tratarse de una directiva, no surte efectos directos sobre las empresas, sino que deberá ser incorporada al derecho nacional de cada país en el plazo máximo de 21 meses desde su aprobación.
Sin embargo, es fundamental que las compañías que operan el terreno de la salud y estén obligadas por su tamaño a cumplir con las normas de la directiva, comiencen a implementar los cambios que esta trae consigo. De esa forma, evitarán las cuantiosas sanciones que se podrían llegar a imponer. Y, sobre todo, para acometer la securización de sus activos cuanto antes.
7. Servicios de ciberseguridad para hacer frente a las amenazas con éxito
Para ayudar a las empresas y administraciones públicas a fortalecer la seguridad de sus activos y prevenir incidentes de seguridad, en Tarlogic Security disponemos de un amplio catálogo de servicios para gestionar los riesgos de forma eficaz:
- Pruebas de seguridad de las aplicaciones para analizar de forma continua el software empresarial: análisis estático del código fuente (SAST), análisis de composición de software (SCA), seguridad de la cadena de suministro (SCS) y seguridad de aplicaciones dinámicas (DAST).
- Auditorías de seguridad de dispositivos IoT e infraestructuras en la nube, de gran relevancia para muchas compañías del sector.
- Pruebas de denegación de servicio o DoS Test para mejor la resiliencia y la respuesta frente a los ataques DDoS.
- Gestión de las vulnerabilidades y detección de vulnerabilidades emergentes para encontrar debilidades antes que los actores hostiles, priorizarlas y mitigarlas.
- Servicios de pentesting para evaluar el posible impacto de un incidente y establecer una serie de recomendaciones que contribuyan a mitigar los riesgos detectados durante la realización del test de penetración.
- Actividades de formación y concienciación para conseguir que todos los profesionales de una compañía sean conscientes de las amenazas a las que se enfrentan y llevan a cabo prácticas inseguras.
Asimismo, las compañías de mayor tamaño y con un nivel de madurez en ciberseguridad más elevado, pueden contratar servicios de Threat Hunting y Red Team para mejorar su resiliencia frente a las amenazas persistentes avanzadas (APT).
En definitiva, los ciberataques contra el sector de la salud no son una anécdota noticiosa, sino una tendencia que se ha consolidado en lo que llevamos de década. Los ataques pueden generar enormes pérdidas económicas y reputacionales para los hospitales, las aseguradoras, las farmacéuticas y el resto de actores del sector. Pero, sobre todo, pueden dañar la salud de los pacientes, agravando dolencias y enfermedades preexistentes, retrasando los tratamientos y llegando a causar muertes.