Hace menos de un mes informábamos de que los ciberataques al sector sanitario aumentaron casi un 5% en 2022. Y todavía tenemos fresco en la memoria el recuerdo del incidente que causó la paralización del Hospital Clínic de Barcelona durante días.

Parece evidente que la sanidad se ha convertido en un sector muy apetecible para los ciberdelincuentes, que encuentran atractivo por varios motivos. “El sector sanitario es una víctima codiciada por los ciberatacantes por dos razones fundamentales. En primer lugar, porque almacena en sus sistemas grandes cantidades de información sensible de usuarios y pacientes, que puede ser explotada de muy diversos modos”, explica Joaquín Gómez, Cybersecurity lead para el Sur de Europa de Infoblox.

Igualmente, Pedro Viana, presales manager de Kaspersky Iberia, puntualiza que “ofrece un atractivo importante para la ciberdelincuencia puesto que el tipo de datos que manejan son especialmente sensibles y requieren una protección especial por parte de las empresas que operan en este sector”.

Aunque aclara que “los datos médicos no sólo son valiosos por sí mismos, sino que una filtración podría tener consecuencias muy serias tanto para la protección de la intimidad de los pacientes como para la entidad sanitaria afectada”.

Al hilo de ello, Gómez recalca que los ciberdelincuentes también colocan a este sector en su punto de mira “porque se trata de servicios públicos críticos, sensibles a un ataque que pueda comprometer su continuidad de negocio”, por lo que son objetivo de muchos ataques de ransomware.

En este sentido, Viana hace hincapié en que “es especialmente relevante mantener las instalaciones en funcionamiento, puesto que hablamos de vidas humanas, por lo que un ataque de ransomware pone literalmente en jaque a un sistema que necesita funcionar para programar operaciones, citas de los pacientes o tratamientos”.

Además, Eutimio Fernández, country manager para la Península Ibérica de Vectra AI, indica que los ciberdelincuentes se están centrando en este sector por la fortaleza de su posición ante una negociación de rescate, debido al alto coste que puede tener para las organizaciones afrontar “multas regulatorias, demandas judiciales y costes de reparación y recuperación de datos”.

Por otra parte, precisa que hablamos de “un entorno donde habitualmente hay sistemas antiguos y obsoletos y una gran cantidad de dispositivos conectados a la red”, lo facilita la explotación de vulnerabilidades y aumenta la superficie de ataque. “En especial, desde la irrupción de la pandemia, las posibilidades de acceder a esta información por parte de los atacantes han aumentado la superficie de exposición, debido al incremento de los dispositivos remotos conectados por el auge de la telemedicina”, apostilla Roberto Lara, SOC director de BeDisruptive.

Interés económico

El motivo que suele mover este tipo de ataques, prácticamente en la totalidad de los casos, es un interés económico. “Su técnica implica el robo de datos para poder venderlos posteriormente en la dark web, o bien para extorsionar a los centros sanitarios exigiendo un rescate a cambio de no publicar dicha información confidencial. Debido a la confidencialidad de estos datos y a la potencial amenaza que puede suponer para la vida de las personas, los ciberdelincuentes confían en que los centros sanitarios acaben accediendo a sus exigencias para recuperar la información”, apunta Lara.

Sin embargo, no siempre ceden al chantaje, lo que suele acarrear problemas. “En el reciente caso del Hospital Clínic, la dirección del hospital no cedió ante el rescate, y el grupo RansomHouse finalmente hizo públicos los datos robados, generando graves problemas añadidos al hospital y sociedad catalana”, afirma el experto de BeDisruptive.

Además, el responsable de Infoblox recuerda que los ciberdelincuentes no sólo pueden hacerse con información clínica en sus ataques a centros sanitarios, sino también pueden obtener diversos datos personales para realizar otros tipos de estafas. Asimismo, remarca que en los países en los que la sanidad es mayoritariamente privada también pueden captar datos financieros de los usuarios.

Por otra parte, el SOC director de BeDisruptive señala que a veces se producen ataques movidos por hacktivismo, “con la finalidad de desestabilizar a un país mediante el ataque a sus infraestructuras críticas”.

Ataques a hospitales y a toda la red sanitaria

“Típicamente, sus objetivos son grandes organizaciones sanitarias, hospitales o gerencias de servicios de salud, públicos o privados, donde los atacantes tienen garantía de encontrar activos que luego puedan rentabilizar”, detalla el responsable de Infoblox.

Aunque los ciberdelincuentes son una amenaza para toda la red sanitaria. “Cualquier centro sanitario u organismo que contenga ingentes cantidades de datos privados, los cuales, en caso de robo, generen una repercusión importante, es potencialmente objetivo de los ciberdelincuentes”, anota Lara. Por ejemplo, también se ven amenazados centros de salud, farmacias, proveedores de material sanitario, etc.

Además, Viana señala que para este año se prevé un incremento de los ataques de amenaza avanzada persistente (APT) contra las organizaciones y dispositivos inteligentes (OT/IoT) en sectores como el de las farmacéuticas o el de los fabricantes de equipos médicos.

En cuanto al origen de los ataques, no es fácil de determinar. “No hay una procedencia acotada”, afirma el responsable de BeDisruptive. Así pues, el country manager de Vectra AI indica que “estos ataques vienen de diferentes grupos de ciberdelincuentes con procedencia de varios países”. Aunque señala que “se han detectado algunos grupos especializados en el ataque a sistemas sanitarios”.

Por otra parte, parece que la guerra de Ucrania no ha tenido especial repercusión en el incremento de este tipo de ataques. “Durante 2022 hemos visto una fuerte actividad de ciberamenazas relacionadas con la guerra de Ucrania, pero eran amenazas oportunistas, como intentos de phishing o estafas (scam). Y los objetivos eran sobre todo personas individuales. De hecho, parece que las amenazas que utilizan como reclamo esta guerra han comenzado a descender, mientras que las relacionadas con el sector sanitario están aumentando”, comenta Gómez.

El ransomware, principal amenaza

Como ya hemos visto, el ransomware es la herramienta preferida por los ciberdelincuentes para atacar al sector sanitario, aunque no es la única. “Según hemos podido detectar, los intentos de acceso no autorizado a las redes y sistemas de TI mediante hacking, con objeto de realizar exfiltración de datos, son los más habituales y preocupantes. Sólo en Estados Unidos, los ataques de hacking/exfiltración de datos han afectado en 2022 a más de 43 millones de registros de pacientes”, detalla el portavoz de Infoblox.

“A medida que los sistemas de defensa se sofistican, también lo hacen las estrategias de los cibercriminales, así que ya se van conociendo casos de extorsión mediante operaciones de ransomware que afectan no sólo a la organización en cuestión, sino también a las personas cuyos datos han sido sustraídos, aprovechando un creciente abanico de técnicas de malware, phishing e ingeniería social a disposición de los cibercriminales”, añade.

Además, Lara destaca que está proliferando el Ransomware-as-a-Service, “que consiste en un modelo en el que los desarrolladores de ransomware crean software y los afiliados lanzan dichos ataques, pese a no tener habilidades técnicas propias, ya que confían en el saber hacer de los operadores, iniciando así una campaña de ransomware contra la víctima”. Especifica que “después de cada ataque, los desarrolladores se quedan con parte del beneficio como forma de pago por haber creado el ransomware”.

Por otra parte, el responsable de BeDisruptive indica que “los ataques a la cadena de suministro, que buscan acceder a las redes de los sistemas sanitarios a través de sus proveedores, también están entre los más vistos, ya que este sector tiene una gran dependencia de proveedores externos para proveerles de servicios de todo tipo”, desgrana Fernández.

¿Cómo afecta al ciudadano?

Los ataques al sistema de salud nos afectan a todos, no sólo a las organizaciones que los sufren directamente. “Aunque en su mayoría están dirigidos para dañar a las empresas, tanto en la interrupción de sus servicios como en su reputación, lo cierto es que los usuarios no son ajenos a las consecuencias de este tipo de ataques”, reconoce el responsable de Kaspersky.

“Está claro que, si los ciberdelincuentes consiguen bloquear el sistema de petición de citas, los usuarios se verán afectados porque no podrían agendar sus visitas al médico, por ejemplo. Pero más allá de interrupciones en los procesos de comunicación con su centro sanitario, está claro que, si un hospital tiene que parar su actividad, los ciudadanos puede sufrir situaciones mucho más graves relacionadas con operaciones que no se pueden realizar o tratamientos de enfermedades que tienen que interrumpirse. Cuando hablamos de vidas humanas, obviamente estamos en un escenario muy sensible. Más allá de una incomodidad puntual de los usuarios, nos encontramos ante situaciones potencialmente muy críticas”, advierte.

Por ejemplo, Lara reseña que el ataque de ransomware que sufrió el Hospital Clínic “provocó la cancelación o el traslado a otras entidades de más de 4.000 análisis de pacientes ambulatorios, más de 300 intervenciones y más de 11.000 visitas de consultas externas”.

Además, Gómez pone el acento en las consecuencias de los ataques ransomware de doble o triple extorsión. “En los casos de exfiltración de datos, el más perjudicado es el usuario cuyos datos sensibles han sido expuestos. A raíz de ello, puede ser víctima de todo tipo de estafas, desde las habituales, utilizando la información financiera de los registros, hasta la petición de un rescate para evitar que se revendan en el mercado negro. Al final, el objetivo siempre es el mismo: se busca la valiosa información confidencial para llevar a cabo robo de identidad, fraudes financieros y extorsiones. Los registros médicos pueden alcanzar un elevado precio en la dark web si incluyen información sensible, como la fecha de nacimiento, datos de tarjetas de crédito, número de la Seguridad Social, etc.”, puntualiza.

Mucho que mejorar

El SOC director de BeDisruptive asegura que “el nivel de concienciación sobre ciberseguridad ha aumentado considerablemente en los últimos años”. Sin embargo, cree que “aún queda mucho trabajo por hacer, especialmente en los centros públicos, donde existen sistemas antiguos heredados que no han sido lo suficientemente actualizados en materia de ciberseguridad”. Además, opina que “aún falta concienciación sobre la gravedad de los ataques cibernéticos y sobre las buenas prácticas de ciberseguridad que deben llevar a cabo todos los miembros de la plantilla”.

Asimismo, Fernández destaca “la falta de personal especializado en ciberseguridad o la inversión especifica en materia de ciberprotección”, así como “el tipo de dispositivos que tienen conectados a su red, que en muchos casos son dispositivos obsoletos o sistemas como cámaras de vigilancia, sistemas médicos, etc., que hacen difícil su securización”.

En este sentido, reseña que “un informe del INCIBE en 2020 señaló que el sector sanitario español es uno de los más vulnerables a los ataques cibernéticos; y que el 30% de los ataques cibernéticos en España se dirigen al sector sanitario”. Además, anota que dicho estudio señalaba que “muchas organizaciones sanitarias tienen sistemas de seguridad obsoletos y no cuentan con planes de continuidad del negocio en caso de un ataque”.

En cualquier caso, el Cibersecurity lead para el Sur de Europa de Infoblox afirma que el sector sanitario español está en línea con los países de nuestro entorno en cuanto a su preparación frente a posibles ataques. “En los informes de mercado que hemos realizado hay parámetros en los que la empresa y organizaciones públicas —no hay que olvidar que muchas organizaciones sanitarias en España dependen de las administraciones públicas—, incluyendo las sanitarias, están un poco por delante de otros países; y en otros, ligeramente por detrás.  En general, están a un nivel de protección similar al que puede tener un hospital americano. Esto no significa que sean inmunes a un ataque, como por desgracia hemos visto recientemente”, comenta.

¿Cómo perfeccionar la seguridad?

El responsable de Vectra AI indica que “es importante que las organizaciones sanitarias inviertan más en ciberseguridad y adopten medidas adecuadas para protegerse contra posibles ciberataques”. “Esto puede incluir la implementación de soluciones de seguridad de red, la educación del personal sobre los riesgos y seguridad lógica, así como la realización de simulaciones de ataques y pruebas de penetración para identificar vulnerabilidades y fortalecer sus sistemas de seguridad”, detalla.

Viana apunta que “en el caso del sector sanitario, es especialmente crítico contar con una infraestructura de seguridad que incluya todos los tipos de dispositivos con los que se trabaje en el centro hospitalario y que nos permita anticipar situaciones y tener una visión global de la seguridad”. De este modo, reseña que “hay que reducir la superficie de ataque, proteger todos los puntos de entrada y contar con una solución enfocada en la prevención y detección temprana”.

Gómez insiste en la necesidad de sofisticar la estrategia de seguridad. “Esto pasa, sobre todo, por reforzar la pila de seguridad de la organización mediante la orquestación de todos los sistemas y soluciones de seguridad para que hablen entre sí, la mejora de la visibilidad sobre toda la infraestructura y la automatización de las respuestas. Muchas veces, la estrategia de seguridad será no tanto impedir el ataque, lo que no siempre es posible, sino reducir al máximo su duración, para minimizar el daño”, especifica.

Además, expone que “la seguridad mediante inteligencias de amenazas basadas en DNS puede agregar defensas vitales y predictivas para ayudar a proteger a las organizaciones de atención médica contra la actividad de los actores de amenazas”. “Esta protección puede incluir la prevención y mitigación del malware, la identificación de dominios similares de alto riesgo, detección de dominios sospechosos, el phishing y los ataques de exfiltración de datos”, desgrana.

Por su parte, Lara afirma que “es necesario que el sector sanitario apueste por la implantación de políticas Zero Trust, fomente la concienciación y formación entre todos los empleados, independientemente de su departamento, y apueste por medidas proactivas de detección de amenazas que ayuden a reducir los riesgos para rastrear y predecir cualquier ataque que pueda poner en riesgo los sistemas de un hospital o cualquier otro agente indispensable de esta industria”.

Al hilo de ello, recalca que “un buen servicio de SOC, con monitorización y respuesta 24×7 para prevenir, detectar y responder ante cualquier riesgo que amenace los sistemas, va a ser fundamental”.

Además, subraya que “se deberían priorizar las inversiones en la supervisión de endpoints y múltiples capas de seguridad en busca de comportamientos sospechosos, así como el registro de sus actividades y eventos, con el fin de detectar amenazas y ejecutar”. Finalmente, considera que “se debe apostar por realizar test de intrusión y auditorías técnicas regulares, tanto a redes, aplicaciones y dispositivos, y por un análisis de infraestructura que garantice una mayor seguridad”.

David Ramos

Soy periodista freelance especializado en información económica, gestión empresarial y tecnología. Yo no elegí esta especialidad. Fue ella la que me escogió a mí.

Recent Posts

¿Cuáles son los retos de la Smart City?

El desarrollo de la Smart City en España es crucial, ya que 4 de cada…

59 mins ago

Tecnología y estrategias para la nueva era de amenazas

La ciberseguridad es un desafío cada vez mayor con el usuario como punto más débil,…

2 horas ago

SIA crea una Cátedra de Ciberinteligencia junto con la Universidad de Málaga

Girará en torno a tres temáticas: desinformación, contrainteligencia y credenciales expuestas.

15 horas ago

La optimización de productos digitales gana a la creación entre las prioridades empresariales

El 57 % de las compañías españolas está manteniendo este año su nivel de inversión…

17 horas ago

En España, el 22 % de las empresas industriales sufre problemas de red 2 o 3 veces al mes

Entre los problemas a los que se enfrentan las compañías con infraestructura distribuida geográficamente se…

18 horas ago

Así evolucionará la mensajería empresarial RCS durante los próximos años

Juniper Research prevé un incremento del 50 % en el tráfico de mensajes para 2025.

19 horas ago