Robar los datos médicos de las personas. Una amenaza de alto voltaje
Tabla de contenidos
Los ataques contra hospitales, aseguradoras y compañías de software sanitario van en aumento y tienen como objetivo robar los datos médicos de los pacientes
El peor escenario ante el que se puede encontrar un hospital es que sus actividades se vean paralizadas. Antaño, esto podía producirse, sobre todo, por falta de suministro eléctrico en circunstancias extraordinarias (guerras, catástrofes naturales…). En cambio, hoy en día los hospitales son centros plenamente digitalizados en los que un ciberataque exitoso puede conllevar la parálisis de servicios médicos esenciales para la salud de los pacientes.
Sin embargo, muchos ataques contra organizaciones del sector sanitario no tienen como objetivo primordial menoscabar su continuidad de negocio, sino robar los datos médicos de las personas.
¿Por qué? La información sanitaria resulta especialmente sensible y su uso malicioso puede ser devastador. De hecho, en abril de 2023, el grupo de ransomware Rhysida amenazó con filtrar información médica sobre la familia real británica, tras haber atacado con éxito los sistemas informáticos del King Edward VII’s Hospital. Ni los royals están a salvo.
1. La protección de datos a nivel europeo
En los últimos años, la privacidad de los datos y la protección de la información personal han estado en el centro del debate público. Tal es así que hemos asistido a la aprobación de normativas con un elevado nivel de exigencia en lo relativo al tratamiento, almacenamiento y protección de los datos personales. De entre todas ellas destaca el célebre Reglamento General de Protección de Datos (RGPD), aprobado en el seno de la Unión Europea.
Asimismo, la Comisión Europea también propone el reglamento para crear el Espacio Europeo de Datos Sanitarios (EEDS), el cual tiene como objetivo ayudar a las personas a controlar sus datos sanitarios y establecer un marco fiable y seguro para el intercambio de dichos datos a nivel comunitario.
Pues bien, la información sobre el estado de salud de las personas supone una esfera privadísima de sus datos personales. De ahí que los actores maliciosos vean la oportunidad de hacer negocio y enriquecerse al robar los datos médicos, venderlos o emplearlos con fines espurios.
A continuación, vamos a profundizar en los ataques que ponen en marcha los delincuentes para lograr robar los datos médicos de las personas, así como en los servicios de ciberseguridad que ayudan a las compañías y administraciones del sector de la salud a evitarlos.
2. Campañas de ransomware contra hospitales, una auténtica ciber pandemia
Si hay una técnica de ataque contra hospitales que se repite una y otra vez son las campañas de ransomware. Hasta tal punto que todos los meses se suceden los ciberataques de ransomware que logran robar los datos médicos de los pacientes e, incluso, paralizar actividades médicas al imposibilitar que los centros acceden a documentos como los historiales clínicos.
En el primer trimestre del 2023 se produjo en España un ciberataque del que ya hemos hablado en otras ocasiones y que afectó severamente a uno de los hospitales más importantes de nuestro país: el Clínic de Barcelona. En los meses siguientes, se filtraron en la Dark Web datos personales de algunos pacientes, como nombres y DNI, pero también información sobre patologías.
Este incidente de seguridad no fue una anécdota, sino la constatación de una tendencia global.
Sin ir más lejos, hace un mes se hizo público que Norton Healthcare, un conglomerado estadounidense conformado por ocho hospitales y 40 clínicas, había sufrido un ciberataque de ransomware a mediados de 2023. Una vez que la investigación llegó a su fin, se pudo determinar que los criminales lograron robar los datos médicos de 2,5 millones de personas, además de números de la seguridad o datos sobre sus seguros médicos.
En las mismas fechas, otro grupo de hospitales neoyorkino, HealthAlliance, comenzó a enviar a sus pacientes cartas para informarles de que su información personal se había visto expuesta en un incidente de seguridad.
La clave de este caso reside en la duración del ataque. Los actores maliciosos persistieron en los sistemas médicos durante casi tres meses y durante este tiempo pudieron robar los datos médicos de sus pacientes como diagnósticos, resultados de pruebas, medicamentos o información sobre sus tratamientos.
3. Ataques de cadena de suministro: Cuando el vector de entrada son los proveedores tecnológicos
La digitalización ha complejizado la cadena de suministro de software de las compañías y administraciones públicas del sector sanitario. Hospitales, compañías de seguro, clínicas médicas y odontológicas… Estas organizaciones emplean de manera cotidiana diversos equipos tecnológicos y software.
Por ejemplo, todos los centros médicos, desde los hospitales de mayor tamaño hasta las pequeñas clínicas, disponen de software para digitalizar cuestiones básicas como el historial clínico de sus pacientes, el inventario de productos médicos o la gestión del personal sanitario.
La mayoría de estas herramientas son desarrolladas y comercializadas por proveedores tecnológicos que también son susceptibles de ser atacados por los actores maliciosos. De hecho, a finales de 2023, ESO Solutions, una compañía que ofrece soluciones para organizaciones sanitarias sufrió un ataque de ransomware que permitió a los delincuentes robar los datos médicos de 2,7 millones de pacientes de sus clientes: información y fecha de lesiones, diagnósticos, tratamientos, número de la Seguridad Social…
Aún más grave fue el incidente de seguridad que padeció la compañía de seguros dentales Delta Dental of California. En este caso, el grupo de ransomware Cl0p aprovechó una vulnerabilidad de día cero que afectó al software de transferencia de archivos MOVEit para sustraer datos privados de casi 7 millones de asegurados de la compañía californiana.
4. Explotar las vulnerabilidades de los dispositivos médicos inteligentes
El Internet of Things (IoT) ha llegado al terreno de la salud. Numerosos centros médicos y pacientes emplean dispositivos inteligentes en su día a día. Por ejemplo, pulsioxímetros que monitorean de manera continua el porcentaje de saturación de oxígeno en sangre, marcapasos inteligentes que permiten detectar cualquier arritmia en el corazón de forma inmediata o aparatos contra la apnea del sueño.
Los beneficios de usar esta clase de dispositivos médicos son evidentes porque facilitan un control permanente de la salud. Pero, ¿qué pasa con sus riesgos?
El equipo de Innovación de Tarlogic ha desarrollado BSAM, la primera metodología a nivel mundial para comprobar la seguridad de las comunicaciones Bluetooth de millones de dispositivos inteligentes de nuestro día a día: ratones inalámbricos, Smart tv, cascos, cerraduras y aparatos médicos.
En el transcurso de la investigación, los profesionales de la compañía llevaron a cabo auditorías de seguridad empleando BSAM que les permitieron constatar amenazas explotables en los dispositivos médicos. De tal manera, los actores maliciosos podrían acceder a ellos y robar los datos médicos de los pacientes que los usan.
De esta manera, para poder securizar aún más estos dispositivos, Tarlogic ha desvelado un nuevo vector de ataque que los delincuentes podrían emplear para robar los datos médicos de las personas y que se suma a otras técnicas como las campañas de phishing o spear phishing, así como a la explotación de vulnerabilidades de día cero presentes en los sistemas de las organizaciones sanitarias o en el software que estas emplean.
5. ¿Para qué quieren los delincuentes robar los datos médicos de las personas?
En lo que respecta a la ciberseguridad, no solo hay que desentrañar el qué o el cómo, sino también el por qué. Robar los datos médicos de pacientes o asegurados es, ante todo, un negocio muy lucrativo para los grupos de ciberdelincuentes. ¿Cómo usan la información sanitaria y los datos privados de las personas?
5.1. Extorsionar a las compañías del sector de la salud… y a sus pacientes
En la mayoría de casos en los que los actores maliciosos emplean ransomware para robar los datos médicos de miles o millones de ciudadanos, se ponen en contacto con las compañías o instituciones atacadas para exigirles el pago de un rescate a cambio de devolver los datos y de no exponerlos públicamente.
Por ejemplo, RansomHouse, el grupo delictivo que atacó con éxito al Hospital Clínic, exigió a las autoridades sanitarias catalanes el pago de un rescate de 4,2 millones de euros.
Sin embargo, las víctimas directas de la extorsión no son solo las compañías del sector de la salud, sino que también pueden serlo sus pacientes o asegurados.
A mediados de noviembre de 2023, The Hunters Internacional, una organización criminal que comercializa Ransomware-as-a-Service, llevó a cabo un ciberataque contra un centro médico especializado en la lucha contra el cáncer, el Fred Hutchinson Cancer Center.
Aunque la empresa aseguró que los atacantes no habían logrado robar los datos médicos de sus pacientes, la banda ha hecho públicos documentos en su portal de extorsión en la Dark Web que dan a entender lo contrario.
Además, han enviado emails a diferentes pacientes del centro, amenazándolos con publicar su número de la Seguridad Social, su historial médico o los resultados de sus pruebas de laboratorio.
Los criminales demandan el pago de 50 dólares a cada víctima para evitar que su información personal se emplee en otros ataques o se comercialice en el mercado negro, facilitando que otros actores cometan fraudes con datos como el número de la Seguridad Social. Si como afirman los actores maliciosos, han podido robar los datos médicos y personales de 800.000 pacientes, podríamos estar hablando de un enorme botín si las víctimas acceden al chantaje.
5.2. Comercializar la información para facilitar el robo de identidades y los fraudes financieros
Aunque las empresas o los ciudadanos paguen el rescate exigido por los delincuentes, no tienen la garantía de que estos vayan a cumplir su palabra. De ahí que tanto las administraciones públicas como los expertos en ciberseguridad desaconsejen efectuar ningún pago. Puesto que, además, esto contribuirá a financiar las futuras actividades de los grupos criminales, dotándolos de más recursos para ejecutar ataques más complejos.
De tal manera que, tras robar los datos médicos de las personas, los ciberdelincuentes pueden, además de extorsionarlas:
- Emplear esta información para poner en marcha nuevos ataques más sofisticados y que les permitan obtener mayores ganancias económicas o dañar a empresas, ciudadanos y administraciones públicas.
- Vender los datos médicos de las personas en la Dark Web. Con información como el número de la Seguridad Social, otros actores maliciosos pueden llevar a cabo fraudes financieros robando las identidades de las víctimas para obtener crédito de entidades bancarias.
6. Directiva NIS2: Gestionar los riesgos de manera eficaz
Hace poco más de un año, el Parlamento y el Consejo Europeo aprobaron la directiva NIS2, una actualización de la primera normativa europea en materia de ciberseguridad. El objetivo de esta directiva, que debe ser traspuesta por los Estados a sus ordenamientos internos antes del 17 de octubre de 2024, es mejorar la resiliencia de las organizaciones que operan en sectores críticos, entre los que se encuentra el ámbito de la salud.
Para ello, NIS2 pone el foco en la gestión de los riesgos de seguridad de las entidades medianas y grandes del sector sanitario, de cara a evitar que los delincuentes puedan robar los datos médicos de los pacientes, paralizar la actividad de las organizaciones y causar daños en la salud de las personas. La gestión de riesgos incluye:
- Análisis de riesgos y amenazas que afectan a los sistemas de información.
- Gestión integral de los incidentes de seguridad, desde la prevención hasta la recuperación.
- Continuidad de negocio.
- Securización de la cadena de suministro, prestando especial atención a los servicios de procesamiento de datos.
- Priorizar la seguridad a la hora de adquirir y mantener redes y sistemas de información.
- Evaluar de manera continua la eficacia de las medidas implementadas y de las capacidades defensivas.
- Uso de criptografía y encriptación para proteger los recursos humanos y la gestión de los activos críticos.
Asimismo, la directiva hace responsables del cumplimiento de estas medidas a los cargos directivos de las compañías sanitarias. Estos deben contar con una formación en ciberseguridad que les permita evaluar los riesgos de sufrir incidentes de seguridad, durante los que se puedan robar los datos médicos de las personas o paralizar los procedimientos sanitarios.
7. Cómo fortalecer la seguridad de los sistemas y equipos médicos
A la luz del panorama de amenazas, el auge de los ciberataques contra las organizaciones sanitarias y la aprobación de una normativa rigurosa y exigente en materia de ciberseguridad, resulta evidente que las compañías y administraciones públicas tienen que mejorar su resiliencia frente a los ataques.
Para ello, es fundamental que tanto las organizaciones del sector de la salud como las compañías que les proveen de software y hardware sitúen a la seguridad en el centro de sus estrategias y dispongan de servicios de ciberseguridad que les permitan mejorar sus capacidades de prevención, detección, respuesta y recuperación:
- Garantizar la seguridad desde el diseño y a lo largo de todo el ciclo de vida de los sistemas, programas y equipos que emplean los hospitales, los centros de salud y demás organizaciones del sector.
- Auditorías de seguridad web, Bluetooth, IoT, infraestructuras en la nube, aplicaciones móviles y código fuente.
- Test de intrusión avanzados para evaluar la seguridad de los sistemas y equipos y optimizar las capacidades defensivas.
- Gestión de vulnerabilidades y detección de vulnerabilidades emergentes que afecten a la infraestructura tecnológica de la organización.
- Threat Hunting para detectar amenazas de forma proactiva y Respuesta a Incidentes para minimizar el impacto de un ataque y evitar que los delincuentes puedan robar los datos médicos de los pacientes o amenazar la continuidad de negocio.
- Escenarios de Red Team para realizar simulaciones de ransomware, en el que el objetivo sea robar los datos médicos de los pacientes para mejorar la resiliencia de las organizaciones frente a esta clase de ataques.
7.1. Proteger a los pacientes y a las organizaciones
A lo largo del año pasado se pudo constatar que una de las tendencias más importantes y alarmantes en ciberseguridad es el incremento de los ciberataques contra hospitales y otras entidades del sector sanitario.
El aumento del número de incidentes y la gravedad de los mismos evidencian la importancia de contar con servicios de ciberseguridad integrales que permitan a las compañías y administraciones evitar la parálisis y el cierre de servicios y proteger los datos médicos de sus pacientes.
El crecimiento de la telemedicina, el uso de apps móviles y web para consultar historiales médicos o el desarrollo de dispositivos inteligentes para controlar la salud de los pacientes o realizar intervenciones médicas traen consigo un sinfín de beneficios. Sin embargo, también incrementan la superficie de ataque a la que tienen que prestar atención las organizaciones.
Proteger una información tan sensible como la sanitaria y de la que todas las personas somos tan celosas se ha convertido en una cuestión estratégica para el sector de la salud. El robo de datos médicos no solo puede conllevar pérdidas económicas, sino también un deterioro reputacional irremediable.
Si, además, el secuestro de los historiales médicos provoca la imposibilidad de acceder a esta información crítica es muy plausible que se vean afectados los servicios sanitarios esenciales. Desde las consultas o la elaboración de recetas hasta intervenciones quirúrgicas, pasando por los servicios de urgencias. Lo que puede afectar directamente a la salud de las personas y causar daños irreparables.
Si a ello le sumamos que las medidas establecidas en la directiva NIS2 serán obligatorias a lo largo de 2024 y que su incumplimiento puede acarrear multas millonarias, resulta evidente que la gestión de riesgos de seguridad debe situarse en el corazón de la estrategia de las empresas y administraciones públicas que conforman el sector sanitario.