Un 23 % de los dispositivos médicos tiene alguna vulnerabilidad explotada
Y en un 22 % de los hospitales hay dispositivos conectados que funcionan de puente entre las redes de invitados y las internas.
Hasta un 63 % de las vulnerabilidades explotadas de las que se tiene constancia afecta a las redes de organizaciones del ámbito sanitario.
Así queda recogido en el State of CPS Security Report: Healthcare 2023 de Claroty, que muestra la problemática de los dispositivos médicos conectados a redes de hospitales y clínicas. Prácticamente 1 de cada 4 (23 %) de estos dispositivos tiene al menos una vulnerabilidad explotada. Aquí entran dispositivos de imagen como los sistemas de rayos X y resonancia magnética, quirúrgicos y del IoT (internet de las cosas) clínicos.
El 14 % de los dispositivos funciona con sistemas operativos incompatibles o que se encuentran al final de su vida útil. La investigación desvela que es posible acceder a distancia a un 66 % de los dispositivos de diagnóstico por imagen, a un 54 % de los quirúrgicos y a un 40 % de los orientados a pacientes. El 11 % de los dispositivos para pacientes, como bombas de infusión, y el 10 % de los quirúrgicos contienen vulnerabilidades con altas puntuaciones en el Exploit Prediction Scoring System (EPSS), que refleja la probabilidad de explotar el problema en una escala de 0 a 100.
“La conectividad ha impulsado grandes cambios en las redes hospitalarias, creando mejoras espectaculares en la atención al paciente, ya que los médicos pueden diagnosticar, prescribir y tratar a distancia con una eficacia nunca vista”, observa Amir Preminger, vicepresidente de investigación de Claroty.
“Sin embargo”, matiza, “el aumento de la conectividad requiere una arquitectura de red adecuada y una comprensión de la exposición a los atacantes que produce. Las organizaciones sanitarias y sus socios de seguridad deben desarrollar políticas y estrategias que hagan hincapié en la necesidad de dispositivos y sistemas médicos resistentes que puedan soportar intrusiones. Esto incluye un acceso remoto seguro, priorizar la gestión de riesgos e implementar estrategias de segmentación”.
Ahora mismo un 22 % de los hospitales cuenta con dispositivos conectados que funcionan de puente entre las redes internas y las de invitados, es decir, aquellas que dan conectividad WiFi a pacientes y acompañantes. Esto los pone en riesgo.
Claroty calcula que alrededor del 4 % de los dispositivos quirúrgicos mantiene conectividad con las redes de invitados.