Por: Genaro Delgado Montalvo
Cofundador de </cyberwag> Cybersecurity Intelligence
Desde hace algunos años, avances tecnológicos como la inteligencia artificial, el internet de las cosas, la automatización y la digitalización de procesos han transformado las prácticas del sector médico.
Cada vez es más común hablar de un expediente clínico electrónico, implementación de prácticas con telemedicina, el monitoreo de actividad cardiaca y glucosa por parte de un especialista desde cualquier parte del mundo a través de dispositivos puestos en los pacientes y conectados a internet (wearables). Sin embargo, esta hiperconectividad también viene con grandes desafíos en ciberseguridad.
Riesgos y amenazas de una mala gestión de ciberseguridad en el sector médico
El “Informe de seguridad cibernética intersectorial y de atención médica de la Healthcare Information and Management Systems Society (HIMSS)” reporta que los principales ataques a hospitales tienen como objetivo el robo de identidad médica, robo y comercialización de información clasificada del personal y servicios de la organización, entre otros.
Así mismo, los ciberataques al sector médico no solo han sido dirigidos a los servicios e información de los hospitales y consultorios, sino que también a los propios dispositivos implantados en los pacientes (como parte de sus tratamientos y monitoreo).
Por ejemplo, el año pasado, la marca Abbott pidió a 350 mil usuarios de sus marcapasos que fueran con sus médicos especialistas, ya que necesitaban ser actualizados en su firmware de manera urgente.
Se temía que, por las vulnerabilidades de seguridad detectadas, un cibercriminal pudiera tomar control del dispositivo y cambiara las acciones de regulación de frecuencia cardiaca.
Algo similar pasa en equipo e instrumentación médica que están conectados a Internet, por ejemplo, equipos de radiología de Bayer. En 2017, estos dispositivos fueron afectados por el ataque masivo de WannaCry, un ransomware que los dejó inoperables por horas (incluso días).
En el segundo semestre de 2020, dos ciberataques buscaron comprometer la seguridad y confianza en las vacunas. El primero, en noviembre, fue dirigido a AstraZeneca. En diciembre, la propia Agencia Europea del Medicamento (EMA) fue víctima de un ciberataque tres semanas antes de dar el fallo de cuál vacuna (entre Moderna y Pfizer) sería aprobada para aplicarse en la Unión Europea.
Lamentablemente los hospitales son ecosistemas vulnerables a ciberataques, ya que en su mayoría ejecutan software desactualizado u obsoleto. Peor, la gestión de riesgos digitales y ciberseguridad no suelen ser ejes prioritarios para los consejos de administración o patronatos.
Te puede interesar…
El costo de los ciberataques en el sector médico
Un estudio del Banco Interamericano de Desarrollo (BID) señala que el costo promedio de un ciberataque en el sector salud (en términos de pérdida de negocio, gastos de prevención, detección y recuperación) equivale a 7.13 millones de dólares.
Resalta esta cifra, en comparación a los 3.86 millones que, en promedio, cuestan los ciberataques en cualquier otra industria. Por otra parte, los datos que maneja el sector son confidenciales y sumamente sensibles. El impacto no material puede ser también sumamente grave.
El BID señala que el sector salud es el que más tiempo toma detectar los incidentes. Desde el momento que un ataque es exitoso hasta que la institución se da cuenta que sus datos fueron vulnerados pasan en promedio 329 días; Latinoamérica presenta uno de los mayores tiempos de detección de ataques del mundo.
Para empeorar esta situación, en México, desde un consultorio hasta un hospital privado o público pueden recibir sanciones por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en caso de que se divulgue información privada.
Estas sanciones pueden ir desde los 17 mil pesos hasta casi 28 millones de pesos según la gravedad del caso. Comúnmente estas sanciones aparecen tras ataques de Ransomware acompañados con extorsión (secuestro de información y exposición de la misma en foros públicos en internet).
¿Qué puede hacer el sector médico para defenderse de los ciberataques?
La empresa Ikusi México ha encontrado que la mayoría de los ciberataques documentados provienen por correo electrónico tipo phishing, navegación en sitios no seguros en internet, prácticas mal gestionadas de BYOD (Bring Your Own Device) donde no existe algún tipo de política para el uso de dispositivos personales dentro de la red de la organización.
La madre de todas las conductas cibercriminales es la ingeniería social en la que, a través de engaños dirigidos a los colaboradores, los cibercriminales acceden a toda la infraestructura e información de las instituciones de salud.
Por lo anterior, la mejor defensa seguirá siendo la formación y concientización de una higiene digital y una cultura zero-trust; es decir, una “cultura de desconfianza bien gestionada” que mantenga en alto lo niveles de “alerta”. Con esto, se generarán entornos ciberresilientes que permitan la continuidad de servicios en las organizaciones del sector médico.