El sector de la salud está entre los principales objetivos de los delincuentes digitales. En 2023 y por decimotercer año consecutivo, el sector sanitario registró las violaciones de datos más onerosas, con un costo promedio de 10,93 millones de dólares, casi el doble que la industria financiera, según datos del World Economic Forum.
En América latina, el sector sanitario está entre los más atacados, con un 5.28% de los intentos totales de ataque con técnicas como estafas virtuales («phishing»), secuestros de datos y equipos («ransomware») y ataques de denegación de servicio.
Un ejemplo de esta actividad delictiva lo sufrieron a fines de 2024 el Grupo Rossi, que reúne los centros médicos Rossi, Stamboulian y Laboratorio Hidalgo, que sufrió un ciberataque de ransomware que paralizó los sistemas, bajó los sitios web e impidió a pacientes hacerse estudios y sacar turnos.
Por causa de este ataque, pacientes que fueron a hacerse estudios de rutina, sin turno, se encontraron con que en los centros no tenían sistema y no atendían a nadie, con todas las computadoras apagadas y que el personal tenía la orden de no prenderlas. Otros pacientes no pudieron operar en línea para reservar turnos.
Otro riesgo asociado es que, si los cibercriminales tienen información de los pacientes, la comercialicen. Los datos personales se comercializan para cometer diversos tipos de ciberdelitos, entre los que se encuentra la suplantación de identidad, que puede usarse para conseguir accesos no autorizados o realizar ingeniería social.
La industria de la salud tiene aún mucho por hacer en materia de ciberseguridad: de acuerdo con el White Paper de la consultora IDC patrocinado por la empresa NeoSecure by SEK (sigla por Security Ecosystem Knowledge) «Estado de adopción de los servicios de seguridad gestionados en América latina», sólo cuatro de cada 10 empresas de salud tienen una estrategia definida y ya implementada, aun teniendo en cuenta el manejo de grandes cantidades de datos confidenciales y sensibles de los pacientes y la naturaleza esencial de los servicios de salud.
«La exposición a delitos cibernéticos es mucho más que el robo de datos sino la alteración del sistema en sí mismo: en ese caso, clínicas, hospitales u otras instituciones sanitarias pueden verse ante el riesgo de interrumpir la atención, los tratamientos y operaciones, y sufrir desperfectos en equipos médicos», señaló Ariel Gallippi, gerente nacional de NeoSecure by SEK para la Argentina,
NeoSecure integra el ecosistema de SEK con más de 20 años de historia, más de 1.000 empleados y una base de más de 800 clientes en la región. Opera en Brasil, Chile, la Argentina, Colombia y Perú, donde cuenta con tres centros de defensa digital y dos centros de respuesta digital, además de centros avanzados de investigación en los Estados Unidos y Portugal. En la siguiente entrevista de iProfesional, Gallippi explica los riesgos digitales que enfrenta el sector de la salud.
-¿Por qué considera que el sector de la salud es un objetivo atractivo para los delincuentes digitales?
-Basta imaginar qué sucedería si los datos de todos los pacientes, sus enfermedades y condiciones fueran expuestos. Las demandas legales que podría tener la institución. El perjuicio que puede ocasionar si el sistema de inventarios no puede encontrar un fármaco que se necesita con urgencia o si se atrasa el ingreso de un paciente con una dolencia seria.
En un banco los delincuentes tocan el dinero de la gente. En un centro de salud, pueden tocar su intimidad y su vida. En el sector de la salud se manejan datos sensibles que son muy valiosos para los ciberdelincuentes porque representan el acceso a información confidencial que pueden utilizar para chantajear, manipular sistemas o provocar daño a individuos u organizaciones. En los últimos años la presión sobre este sector aumentó mucho, pero no así la preparación para los profesionales que lo integran.
-¿Qué características específicas del sector salud lo hacen vulnerable a ataques digitales?
-Por el tipo de actividad del sector tienen información confidencial, por eso no pueden fallar ni puede estar disponible. Y por supuesto, como casi toda organización de servicios, tienen que facturar, pagar sueldos, pagar impuestos. En América latina el sector sanitario está entre los más atacados, con un 5,28% de los intentos totales de ataques con técnicas como phishing, ransomware y ataques de denegación de servicio.
(…) Las instituciones médicas suelen tener estructuras TI (tecnologías de la información) con sistemas heredados, una suerte de combinación entre nuevas y viejas tecnologías que las exponen a mayores niveles de vulnerabilidad. Además, la digitalización acelerada durante la pandemia profundizó en muchos casos las brechas de ciberseguridad.
-¿Cuáles son los principales objetivos que buscan los atacantes al dirigirse a instituciones de salud?
-(…) Los registros médicos tienen información valiosa que incluye datos personales, números de seguro social, historiales médicos y datos financieros. Esta información puede ser vendida en el mercado negro o bien utilizada para cometer fraudes.
-¿En qué medida las motivaciones económicas influyen en los ataques digitales en este sector?
-Son las mismas motivaciones económicas que para otras industrias. Los ataques de ransomware, basados en la extorsión, sirven para cobrar un rescate. Las instituciones de salud, en general, no tienen la madurez y recursos de un banco y por lo tanto muchas de ellas tienen recursos limitados para protegerse.
Ariel Gallippi
-En relación con el reciente ataque a los laboratorios Rossi, Stamboulian e Hidalgo, ¿qué lecciones se pueden aprender sobre la preparación y respuesta ante ataques digitales?
-Preferiría no hacer foco en las instituciones sanitarias afectadas recientemente, sino en el ciberataque de ransomware que atravesaron. De acuerdo con el Think Ahead Report 2024 que hicimos en NeoSecure by SEK, el año pasado los secuestros de datos representaron el 73% de las brechas de seguridad informática a nivel global. Se volvió casi endémico, consolidando la normalización de esta amenaza como un hecho cotidiano.
En Sudamérica el incremento de los actores de amenazas asociados a ransomware que atacaron supera en más del doble al aumento global, alcanzando el 443%. La actividad asociada al ransomware viene impactando a un conjunto heterogéneo de organizaciones en diversas industrias, tanto de salud, de energía, proveedores de telecomunicaciones y servicios de centros de datos. Creo que una lección a considerar para todo es la importancia de la prevención de riesgos.
Es importante que las organizaciones puedan adoptar un enfoque integral en el ámbito de ciberseguridad que incluya políticas estrictas respecto a la actualización y el parcheo de los diferentes sistemas, junto con una capacitación práctica al personal de la organización acerca de cómo identificar amenazas y cómo tratarlas.
La segmentación de redes en subredes más pequeñas y manejables ayuda a controlar los accesos y los dispositivos de detección y respuesta avanzados (Endpoint Detection and Response -EDR) sirven para monitorear y analizar actividades sospechosas en dispositivos finales y permiten responder a amenazas en tiempo real.
Todo estos elementos deben formar parte de un plan integral de ciberseguridad que incluya respuesta a incidentes con copias de seguridad regulares, esfuerzos continuos y simulacros para «prepararse para el ataque».
-¿Qué medidas considera necesarias para mejorar la ciberseguridad en el sector salud argentino?
-Lo primero es el compromiso activo y permanente de la dirección de la organización. Cuando este compromiso es débil, toda la cadena hacia abajo tiene problemas. Esto debería reflejarse en áreas de seguridad razonablemente financiadas, con programas que las lleven a niveles de madurez creciente, con personal preparado y con socios estratégicos que les permitan suplir las faltas de know-how y recursos internos.
(…) la digitalización acelerada que atravesaron durante la pandemia profundizó las brechas de ciberseguridad. Con lo cual las medidas que desde NeoSecure by SEK consideramos necesarias pasan por adoptar rápidamente nuevas tecnologías que permitan la atención médica remota y la digitalización de archivos, documentos, órdenes y recetas a menudo se llevó a cabo sin las medidas de seguridad adecuadas, con dispositivos personales de empleados y a través de redes domésticas, lo que potenció la exposición a los ataques.
Si bien el sector sanitario incorporó en los últimos años y de manera progresiva soluciones basadas en la nube, tecnología 5G (quinta generación de tecnología de telefonía móvil) y dispositivos IOT (sigla por Internet de las cosas), todas tecnologías que proporcionan grandes beneficios pero que también aumentaron la superficie de contacto para el ciberdelito.
Porque hoy la inteligencia artificial es aprovechada por los ciberdelincuentes para perfeccionar los ataques y eludir las medidas de seguridad. Este escenario lleva a las empresas de salud a mantenerse más alertas que nunca.
El sector sanitario se enfrenta a una realidad donde es preciso garantizar la resiliencia cibernética si se quieren evitar los graves perjuicios de los ataques. A la par de la digitalización, es necesario emprender una estrategia de ciberseguridad que permita anticipar y evitar riesgos.
-¿Cómo puede la inversión en tecnología y formación del personal contribuir a mitigar estos riesgos?
-Actualmente muchas de las instituciones médicas carecen de una infraestructura tecnológica y de los profesionales adecuados para hacer frente a la amenaza de los ciberataques. Más que nunca se vuelve necesario contar con la colaboración de un aliado tecnológico con las credenciales acordes.
Para aumentar las capacidades de defensa y alcanzar un buen nivel de resiliencia cibernética las alianzas con proveedores de servicios gestionados incrementan la capacidad para evaluar e implementar -junto con los equipos propios de las organizaciones- las medidas y soluciones necesarias para aumentar las barreras de entrada ante las ciberamenazas. agrega el referente local de la compañía especialista en servicios de ciberseguridad.
La educación y el pensamiento crítico es la mejor defensa contra el fraude. Usar siempre contraseñas seguras y únicas para cada cuenta, evitar repetir las mismas, habilitar la autenticación de dos factores siempre que sea posible, manteniendo el software de seguridad actualizado y realizando el análisis de malware de manera regular se contribuye a disminuir la exposición.
-En su opinión, ¿qué fallas estructurales permitieron que se lleven a cabo los ataques en los centros mencionados?
-Prefiero hablar de la problemática general y no de estos casos puntuales. Muchas organizaciones aún tienen un foco muy puesto en la seguridad del perímetro. Hoy debemos considerar, como principio, que ya hemos sido comprometidos.
Reconocer que es muy probable que ya hayan ocurrido brechas de seguridad en el sistema o la red. Esta mirada nos lleva a tomar decisiones diferentes, como mejorar nuestros controles internos, la capacidad de detección y respuesta para la protección de los activos críticos.
-¿Qué protocolos deberían implementarse para prevenir futuros incidentes similares?
-Según el informe «Think Ahead Report 2024» (…), la debilidad de las contraseñas sigue siendo el principal punto vulnerable en todos los sectores empresariales analizados, como salud, medios, finanzas, retail, manufactura y servicios.
Se recomienda crear contraseñas robustas, con una longitud de entre 8 y 12 caracteres, que incluyan una combinación de letras, números y símbolos, además de al menos una letra mayúscula. Es crucial utilizar contraseñas distintas para cada cuenta y cambiarlas regularmente, al menos cada seis meses.
Con el tiempo, los controles de seguridad más antiguos, como las contraseñas mencionadas, se vienen complementado con tecnologías más avanzadas. Esto incluye la autenticación múltiple, como sucede en el acceso a cuentas bancarias, aplicaciones de mensajería como WhatsApp, o al desbloquear un «smartphone»; los sistemas biométricos, como el reconocimiento de huella o facial, y la autenticación basada en nuestro comportamiento.
Si bien no se trata de sistemas de seguridad infranqueables, utilizar varios de estos sistemas de autenticación suele mejorar la seguridad de las contraseñas y aumenta la protección frente a los ataques.
Aunque parezca obvio, es importante contar con software y hardware actualizados con los últimos parches de seguridad para estar más protegido. También es muy valiosa la adopción de sistemas de monitoreo proactivo que identifiquen intentos de robo de identidad o comportamientos inusuales que puedan indicar una posible vulneración de datos.
Para garantizar la disponibilidad y confiabilidad de la información es fundamental que las empresas actualicen sus infraestructuras TI, incorporando tecnologías como inteligencia artificial, blockchain y computación en la nube.
-¿Cuál es su pronóstico sobre la evolución de las amenazas digitales en el sector salud en los próximos años?
-El cibercrimen se ha consolidado y su impacto ha crecido con un modelo de negocios robusto y no vemos en el corto plazo que vaya a dejar de crecer. A su vez, el nivel de protección frente a ciberataques en la región aún es bajo.
Según datos del White Paper «Estado de adopción de los servicios de seguridad gestionados en América latina», el 20% de las organizaciones en América latina, principalmente pequeñas y medianas empresas aún no han implementado estrategias de seguridad adecuadas.
La tendencia crece si hacemos foco en el sector de la salud. Por lo tanto si las instituciones sanitarias no toman real dimensión de los perjuicios económicos, del daño a su reputación y de las complicaciones a sus pacientes la situación se complicará aún más.
-¿Cómo deberían adaptarse las políticas de ciberseguridad para enfrentar el panorama cambiante de amenazas?
-La primera política tiene que ver con el compromiso y responsabilidad de toda la organización en este tema. Es algo que debe venir desde arriba. Es muy fácil olvidar el incidente reciente y volver a lo rutinario. Se requiere persistencia y liderazgo.
Para incrementar la seguridad en la industria sanitaria, NeoSecure by SEK recomienda identificar y clasificar la información sensible, implementar el paradigma «Zero Trust» -un modelo en que la verificación es continua de todos los usuarios y dispositivos más allá de su ubicación- apelar a la autenticación multifactorial, contraseñas seguras y a las copias de seguridad de datos.
Aplicar mecanismos de detección y respuesta avanzada, reducir la superficie de ataque y fundamentalmente concientizar y capacitar en ciberseguridad a todos los usuarios y proveedores de servicios de salud, dado que el eslabón humano es el más débil en la cadena del ciberdelito.
-¿Qué papel juega la colaboración entre el sector público y privado en la mejora de la ciberseguridad del sector salud?
-Consideramos que la colaboración entre el sector público y privado es clave para construir un entorno de ciberseguridad más robusto y resiliente en el sector salud. Al aprovechar las fortalezas y recursos de ambos sectores, se podrán desarrollar soluciones más completas y efectivas para proteger la información y los sistemas críticos de salud.
-¿Cómo puede aumentar la conciencia sobre ciberseguridad entre los profesionales de la salud y el personal administrativo?
-La industria debe seguir haciendo esfuerzos en este sentido, sus miembros deben seguir conversando y tratando de entender de qué se trata este escenario y cómo va a evolucionar. Concientizar y capacitar en ciberseguridad a todos los usuarios y proveedores de servicios de salud es fundamental porque el eslabón humano es el más débil en la cadena del ciberdelito.
Para hacerlo es de gran utilidad apelar a programas de capacitación continua. Dictar talleres y seminarios que expliquen y aborden las amenazas comunes, como el phishing y el ransomware. Pueden valerse para eso de cursos en línea con módulos interactivos, así como incentivar a los empleados a obtener certificaciones en ciberseguridad.
Las simulaciones de ataques también son muy valiosas porque permiten observar la respuesta del personal y reforzar las lecciones aprendidas. Ofrecer charlas, talleres y fundamentalmente tener una cultura organizacional de seguridad permite que todo el equipo de trabajo vaya sintiéndose cada vez más responsable de proteger la información y los sistemas de la organización.