El mundo sanitario, víctima de los virus informáticos

En 2016, hospitales y centros sanitarios fueron objetivo de los ciberdelincuentes, confirmando la falta de políticas de ciberseguridad adecuadas en el sector

Madrid, 20 de junio de 2017.- La industria médica se está transformando rápidamente. Cada vez más profesionales y pacientes utilizan dispositivos facultativos con conexión a Internet para el control rutinario y para monitorizar el ejercicio, sin embargo, la seguridad no se aplica con la misma rapidez.

Los dispositivos conectados a Internet que controlan nuestra actividad, dentro y fuera del hospital, suelen estar repletos de datos confidenciales, ya sea información relativa a la identidad del paciente, información médica o financiera para la facturación, y a la vez suelen ser bastante inseguros. “Fácilmente podría accederse a datos como el correo electrónico, el nombre de usuario, la contraseña y los datos proporcionados por el GPS, incluyendo la dirección particular o laboral o información sobre si el usuario está fuera de casa o dormido”, explican desde el laboratorio de la empresa de software de seguridad, ESET.

Un ataque a un dispositivo médico, como una bomba de insulina o un marcapasos con posibilidad de conexión a otros dispositivos, podría permitir que los delincuentes hicieran una serie de cambios a las medidas prescritas, lo que podría causar problemas médicos graves (o incluso mortales, según las investigaciones realizadas durante los últimos años al respecto).

Es cierto que el año 2016 trajo un menor número de casos de brechas masivas en el sector, pero lamentablemente esto no significa que el problema esté resuelto, ni mucho menos que el sector haya dejado de ser interesante para los ciberdelincuentes. De hecho, la seguridad sigue siendo una preocupación secundaria en los entornos médicos a pesar de que los datos que manejan son sumamente lucrativos. Según ESET, los datos almacenados por centros hospitalarios y de salud tienen el potencial de ser diez veces más valiosos que la información de las tarjetas de crédito o débito.

Secuestro de los datos privados y amenazas en dispositivos conectados

La amenaza más importante a la que se enfrenta el sector sanitario es el denominado ransomware, o secuestro de la información por parte de los ciberdelincuentes. El ransomware es un tipo de malware que cifra los datos almacenados en los equipos y pide un rescate para su recuperación. “En caso de no pagar el rescate, es posible que no se puedan recuperar los archivos, al menos temporalmente, pero el hecho de pagarlo tampoco implica que se vayan a recuperar, por lo que es imprescindible contar con políticas de seguridad estrictas que impidan este tipo de acciones en una industria que maneja datos tan confidenciales, indica Josep Albors, responsable de investigación y concienciación en ESET España.

Cuando se trata de atacar a una institución médica, los ciberdelincuentes saben que están accediendo a información que puede provocar alarma en la población e incluso, en el peor de los casos, la muerte de algunos pacientes y se aprovechan de las vulnerabilidades en los sistemas para sacar mayor partido”, afirma Albors.

Hospitales, laboratorios y centros médicos deberían aplicar las medidas necesarias, simples pero efectivas, para reducir los efectos de las amenazas y los riesgos que conlleva un uso inseguro de las tecnologías. Con el objetivo de reducir los riesgos en los ciberataques que pueden sufrir las instituciones sanitarias, ESET recomienda:

  • Crear copias de seguridad periódicas, una forma muy efectiva de mitigar los daños una vez que un sistema o una red es víctima de un ataque.
  • Filtrar el correo electrónico en busca de spam y de phishing, así como bloquear los archivos potencialmente peligrosos utilizados por los autores de malware, para disminuir el riesgo de que el malware llegue hasta los usuarios.
  • Usar un software antimalware que proteja la red y los equipos para identificar las amenazas y evitar que entren en los sistemas, o reducir el daño ocasionado en caso de que el archivo malicioso logre evadir las defensas iniciales de los sistemas.
  • Proteger los datos con un cifrado fuerte, tanto los almacenados en los sistemas como los que se guardan en medios extraíbles. Por ejemplo, cuando se envían por correo electrónico, por la web o por mensajería instantánea, o cuando se sincronizan con el equipo del usuario.
  • Autenticar correctamente a los usuarios antes de que visualicen, compartan o modifiquen la información almacenada en los dispositivos implantados, dado que las consecuencias de su uso indebido son significativamente más costosas.
  • Educar a los usuarios desde que acceden a la institución y ofrecer formaciones periódicas con el objetivo de disminuir las probabilidades de que ejecuten un archivo malicioso.

Estos pasos no solo reducirán el riesgo de un ataque de ransomware, sino que también ayudarán a prevenir otros tipos de ataques.