Las instituciones médicas son un gran objetivo para los piratas informáticos. He aquí por qué y qué puede hacer para ayudar a proteger sus datos personales.
Las instalaciones de atención médica son buenos objetivos para los piratas informáticos por varias razones, la principal de las cuales es el tesoro de información detallada del paciente que almacenan. Para los ciberdelincuentes, exfiltrar con éxito los datos de los pacientes es como encontrar una olla de oro. Para las instalaciones y los pacientes afectados por los hackeos, la experiencia es una pesadilla.
No olvidará la mala experiencia rápidamente, pero puede reducir su exposición o incluso prevenir los ataques por completo.
El panorama de los ataques cibernéticos a la atención médica
Los ciberataques a las instalaciones sanitarias no son nuevos. En 2017, el ransomware WannaCry estuvo a punto de derribar al Servicio Nacional de Salud del Reino Unido. El ciberataque hizo olas, pero el NHS no era el objetivo principal de los actores de amenazas. Sin embargo, los ciberdelincuentes parecieron aprender que los centros de salud son frutos fáciles de alcanzar. En 2021, el
Oficina de Asuntos Públicos informó que un grupo de piratas informáticos lanzó un ataque cibernético coordinado en más de 1500 hospitales, escuelas y empresas financieras.El ransomware y el phishing son los métodos comunes que utilizan los piratas informáticos en estos ataques: phishing para obtener acceso privilegiado a los servidores; y ransomware para bloquear las instalaciones y exprimirlas por dinero.
En comparación con las empresas de tecnología que también manejan datos valiosos de los clientes, los centros de atención médica son objetivos fáciles, principalmente porque los piratas informáticos tienen múltiples puntos de entrada. Además, debido a que las consecuencias de sus ataques alteran vidas, los piratas informáticos esperan que la administración ceda rápidamente.
Cómo suceden la mayoría de los ataques cibernéticos a la atención médica
El principal punto de entrada para los piratas informáticos son los correos electrónicos de phishing enviados al personal de atención médica. Aunque los piratas informáticos preferirían apuntar al personal con acceso de nivel de administrador, casi cualquier miembro del personal servirá. El primer objetivo es comprometer el dispositivo de la persona engañándola para que descargue malware adjunto al correo electrónico. El truco de phishing también puede ser hacer que hagan clic en un enlace incorrecto e ingresen sus credenciales de inicio de sesión en un tablero falso.
Ahora que el malware está en el dispositivo comprometido del personal, el siguiente objetivo es introducirlo en la red de la instalación. Esto suele ocurrir cuando el dispositivo comprometido se conecta a dispositivos no seguros o mal protegidos en la red. La conexión puede realizarse a través de WLAN, Bluetooth, Protocolo de transferencia de archivos o incluso conectando una unidad USB.
Una vez que el malware está en la red de la instalación, ejecuta su carga útil y establece un sistema de comando y control con el atacante. Con esta puerta trasera abierta, los piratas informáticos pueden moverse lateralmente y establecerse, comprometer más servidores y crear otras puertas traseras en la red para futuros ataques.
Por qué los piratas informáticos apuntan a las instalaciones de atención médica
Se reduce a dinero e identidad. Los piratas informáticos no están interesados en saber a quién le extrajeron un diente o cómo se ve una radiografía. El objetivo es obtener información personal y registros vitales de los pacientes. Esto incluye nombre completo, historial de direcciones, detalles de la tarjeta, número de seguro social, datos biométricos, certificado de nacimiento, certificado de defunción y más.
Con esta información, es posible robar la identidad de una persona y usarla para tomar préstamos, abrir cuentas bancarias o incluso hacerse pasar por alguien cuando se comunica con los proveedores de servicios. Los ciberdelincuentes también pueden usar registros vitales, como certificados de defunción, para llevar a cabo fraudes de beneficios públicos. Para los piratas informáticos que no están interesados en utilizar los datos robados, existe demanda en el mercado negro (o de hecho la web oscura).
Pero monetizar los datos de pacientes robados no siempre es pan comido. Por lo tanto, los piratas informáticos a menudo prefieren obligar a la administración del hospital a pagar un rescate. Obligan a las instalaciones a pagar cifrando archivos y bloqueando a su personal de los dispositivos de los que dependen en gran medida para acceder a la información del paciente y brindar atención.
En esos momentos, los ejecutivos de atención médica quedan atrapados en la resaca. Tienen que elegir entre pagar el rescate y posiblemente ser multados por el gobierno (según el Tesoro de los Estados Unidos) o enfrentar demandas de pacientes cuyos datos se filtraron. No es raro que la gerencia capitule y elija la opción que protege su imagen de marca y cuesta menos dinero. A menudo, es la falta de dinero lo que significa que las instituciones de salud no implementan las medidas de seguridad adecuadas en primer lugar...
Cómo puede proteger los datos de atención médica de los piratas informáticos
Los hospitales están en el punto de mira de los ataques cibernéticos a la atención médica, pero es probable que el objetivo se expanda a las empresas de tecnología con productos que recopilan datos de salud, como los relojes inteligentes. Estas son las cosas que usted, un administrador de un centro de salud, un profesional de la salud o alguien que utiliza los servicios de atención médica, puede hacer para reducir sus riesgos.
Actualice el hardware antiguo y parchee el software obsoleto
Muchas instalaciones de atención médica todavía usan computadoras que ejecutan versiones heredadas de sistemas operativos Windows como Windows 7 y Windows XP. El soporte para sistemas operativos heredados ha finalizado, lo que significa que los piratas informáticos pueden explotar fácilmente las vulnerabilidades existentes. Pero incluso los nuevos modelos de computadora que ejecutan la última versión del sistema operativo Windows no son invencibles. Sin embargo, son mejores porque tienen soporte para desarrolladores. Puede esperar recibir actualizaciones de seguridad que corrijan las fallas, a menudo antes de que los piratas informáticos puedan explotarlas.
Además, muchas instalaciones dependen de empresas de terceros que suministran equipos y software de nicho. El uso de tantos proveedores aumenta los puntos de entrada para los piratas informáticos, porque todo está conectado. Cuando se confía en productos o servicios de nicho, es mejor patrocinar empresas con un historial de mejora de sus productos.
En un sector donde los encargados del presupuesto priorizan los consumibles y la nómina, puede ser un desafío asignar fondos para reemplazar hardware antiguo, aunque funcional. Sin embargo, la pérdida potencial de los ataques cibernéticos hace que este sea un gasto necesario.
Contrata un Equipo Azul o Rojo
El departamento de TI de los centros de atención médica es el principal responsable de mantener el software clínico y solucionar problemas de hardware defectuoso. Estos departamentos suelen funcionar de forma sencilla, con pocos miembros del personal que tengan las habilidades o el conocimiento para prevenir ataques cibernéticos. En tales casos, considere contratar un equipo azul, rojo o morado para evaluar la postura de ciberseguridad de su organización.
Los analistas de ciberseguridad lo valen. Un equipo puede recomendar o implementar protocolos de encriptación que hagan que sus archivos sean inútiles para los piratas informáticos, incluso si penetran en su red. Además, pueden instalar tecnología de engaño para ganarle tiempo a su departamento de TI para manejar los ataques cibernéticos antes de que paralicen sus sistemas.
Siga las mejores prácticas de ciberseguridad para proteger los datos
Nosotros recomendamos prácticas de seguridad de punto final, especialmente el acceso a la red de confianza cero y la regulación del acceso al puerto USB. Mientras tanto, si tiene que usar un dispositivo, como un teléfono, que a menudo se conecta a la red de la instalación, considere tener uno exclusivamente dedicado al trabajo. Evite integrar profundamente ese dispositivo en su red doméstica, ya que podría transmitir malware del trabajo a su hogar.
Dicho esto, si usa aplicaciones móviles, le recomendamos compartir la menor cantidad de datos posible. Una forma de limitar la cantidad de datos que recopila un dispositivo es usar uno que almacene sus datos localmente en lugar de uno que los cargue en la nube de una empresa. Si usa dispositivos que ayudan a su médico a controlar su salud de forma remota, solicite uno con cifrado avanzado de extremo a extremo para salvaguardar datos.
¿Cuál es el futuro de la seguridad sanitaria?
Los profesionales de la salud dependen en gran medida de los equipos digitales para brindar una atención de calidad. Los apagones causados por ciberataques pueden convertirse rápidamente en caos, como si la materia golpeara un oscilador. El efecto de los ataques empeorará en el futuro a medida que se retire la generación de profesionales familiarizados con el lápiz, el papel y los equipos analógicos. Sin embargo, es posible reducir su riesgo fortaleciendo su ciberseguridad.
