Protegiendo la sanidad: una revisión del estado de la ciberseguridad en el sector sanitario

Incluso antes de la invasión rusa de Ucrania, existía un temor considerable a que la escalada militar se extendiera (aún más) al ciberespacio y fuera seguida por una serie de impactantes ataques digitales con implicaciones internacionales. Por lo tanto, se ha instado a las organizaciones de todo el mundo a mejorar su ciberseguridad y a prepararse y responder a ciberataques que pueden terminar siendo altamente dañinos, ya sean intencionados o accidentales. En este sentido, ESET, empresa líder en ciberseguridad, hace un repaso sobre las principales amenazas y riesgos enfrentados por las organizaciones sanitarias en materia de ciberseguridad y cómo afrontarlos.

Un sector en el que lo que está en juego no podría ser más importante es el de la sanidad. Las amenazas digitales a las que se enfrenta el sector y, de hecho, la infraestructura crítica en su conjunto, han ido aumentando durante años, y la invasión rusa de Ucrania ha incrementado aún más el nivel de esta amenaza. En respuesta, el Departamento de Salud y Servicios Humanos de los Estados Unidos, por ejemplo, ha emitido una alerta para el sector, señalando a HermeticWiper, un nuevo malware destructor de datos descubierto por los investigadores de ESET, como un ejemplo de riesgo importante.

Obviamente, los hospitales y otros proveedores de servicios sanitarios en Europa también deben ser conscientes de los riesgos, ya que han sido un objetivo cada vez más popular para los ciberdelincuentes y otros actores maliciosos en los últimos años. La agencia de ciberseguridad de la UE, ENISA, informó hace unos meses de que los ataques al sector aumentaron casi un 50% interanual en 2020.

Hay mucho más que dinero en juego: un estudio de 2019 afirmaba que las violaciones de datos pueden incluso aumentar la tasa de mortalidad a los 30 días de las víctimas de ataques cardíacos. De hecho, aunque se cree que un incidente de ransomware ahora famoso en Alemania no causó directamente la muerte de un paciente, fue uno de los precursores más importantes del impacto potencial en el mundo real de los ataques virtuales, como, por ejemplo, cuando se desconectan los sistemas de soporte vital.

A medida que las organizaciones sanitarias europeas sigan digitalizándose en respuesta a las presiones provocadas por la COVID-19, un personal trabajando de forma cada vez más remota y el progresivo envejecimiento de la población, estos riesgos no harán más que aumentar. Sin embargo, podemos hacer frente a estos desafíos mediante la mejora de la higiene informática y otras buenas prácticas en ciberseguridad, así como la mejora de la detección y la respuesta a los incidentes, siendo este un camino a seguir para el sector.

Por qué la sanidad está expuesta a los ciberataques

El sector sanitario representa un segmento importante de las infraestructuras críticas nacionales (CNI) en toda Europa. Según las estimaciones más recientes, emplea a casi 15 millones de personas, es decir, el 7% de la población activa. La sanidad también es única en cuanto a la amplitud de los retos a los que se enfrenta, lo que hace que esté más expuesta a las ciberamenazas que otros sectores. Entre ellos se encuentran:

• La escasez de cualificaciones en el ámbito de las tecnologías de la información que se da en todo el sector, el cual a menudo no puede competir con los salarios más altos que se ofrecen en otros sectores.
• COVID-19, que ha ejercido una presión sin precedentes sobre el personal, incluidos los equipos de seguridad informática.
• El trabajo a distancia, que puede exponer a las organizaciones que proveen atención médica (HCO) a los riesgos que presentan los trabajadores con malos hábitos, los endpoints inseguros y una infraestructura de acceso remoto vulnerable o mal configurada.
• Infraestructura informática antigua.
• Grandes cantidades de datos personales y una gran carga para cumplir con las exigencias normativas.
• La proliferación de herramientas, que puede abrumar a los equipos de respuesta a las amenazas con alertas de todo tipo.
• La adopción de la nube, que puede aumentar la superficie de ataque. Muchas HCO no tienen las habilidades internas para gestionar y configurar de forma segura estos entornos o no entienden su responsabilidad compartida en materia de seguridad.
• Complejidad de los sistemas informáticos adoptados durante un largo periodo de tiempo.
• Dispositivos conectados, entre los que se encuentran muchos dispositivos de tecnología operativa (OT) heredada en los hospitales, como los escáneres de resonancia magnética y las máquinas de rayos X. La conectividad conlleva el riesgo de ataques remotos, y muchos de estos dispositivos son demasiado importantes como para desconectarlos para poder parchearlos, o bien ya han superado el plazo estipulado de soporte.
• Los dispositivos IoT, que son cada vez más populares para cosas como la dispensación de medicamentos y la monitorización de los signos vitales de los pacientes. Muchos de ellos no tienen parches y están protegidos solo con sus contraseñas predeterminadas de fábrica, lo que los deja expuestos a ataques.
• Los ciberdelincuentes profesionales que ven cada vez más a las HCO como un objetivo fácil, ya que luchan contra el elevado número de pacientes de la COVID-19. Los datos de los pacientes, que pueden incluir información muy delicada y detalles financieros, son una mercancía lucrativa en los bajos fondos usados por la ciberdelincuencia. Además, es más probable que el ransomware obligue a pagar, ya que los hospitales no pueden permitirse estar indisponibles durante mucho tiempo. Los hospitales que actúan como centros de investigación también pueden almacenar información altamente sensible sobre futuros tratamientos.

Ataques en el mundo real y lecciones aprendidas

A lo largo de los años, hemos asistido a múltiples ataques graves contra las organizaciones sanitarias, que ofrecen oportunidades para que el sector aprenda y mejore su capacidad de recuperación en el futuro. Entre ellos se encuentran:

El Servicio Nacional de Salud (NHS) del Reino Unido, que se vio gravemente afectado por el gusano ransomware WannaCry en 2017, después de que los HCO no parchearan una vulnerabilidad de Windows. Se calcula que se cancelaron 19.000 citas y operaciones. Esto terminó costando al servicio de salud 92 millones de libras en horas extras de TI (72 millones de libras) y pérdida de producción (19 millones de libras).

El Health Service Executive (HSE) de Irlanda, que fue atacado en 2021 por el grupo de ransomware Conti, después de que un empleado abriera un documento Excel utilizado como cebo en un correo electrónico de phishing. Los atacantes pudieron pasar desapercibidos durante más de ocho semanas hasta que desplegaron el ransomware. Entre las lecciones aprendidas se encuentran:

• El software antivirus está configurado en modo «monitor», lo que significa que no bloquea los archivos maliciosos.
• No actuar rápidamente tras la detección de actividad maliciosa en un controlador de dominio de Microsoft Windows.
• El software antivirus no pudo poner en cuarentena los archivos maliciosos tras detectar Cobalt Strike, una herramienta utilizada habitualmente por los grupos de ransomware.
• El equipo de operaciones de seguridad de HSE (SecOps) aconsejó un reinicio del servidor cuando se contactó con él sobre eventos de amenazas generalizadas en varios hospitales.

Los ataques de ransomware a los hospitales franceses de Dax y Villefranche-sur-Saone obligaron a desviar a los pacientes a otros centros en plena crisis del COVID-19. Los sistemas telefónicos e informáticos quedaron fuera de servicio y los médicos tuvieron que utilizar papel y boli para llevar los registros. La agencia de seguridad francesa ANSSI vinculó los ataques a la inteligencia rusa, lo que puede ser un signo de un mayor intercambio de herramientas y técnicas entre la ciberdelincuencia clandestina y los actores estatales.

Incorporar la ciberresistencia a la asistencia sanitaria

Ante la creciente presión, las empresas sanitarias deben encontrar la manera de mitigar los riesgos cibernéticos de forma más eficaz, sin que ello suponga un gasto excesivo ni afecte a la productividad de sus trabajadores. La buena noticia es que muchos de los pasos de las mejores prácticas que pueden crear resiliencia en otros sectores de las infraestructuras críticas nacionales funcionarán aquí. Entre ellas se encuentran:

1. Obtener visibilidad de la superficie de ataque, incluyendo todos los activos de TI, el estado de los parches y su configuración. Una base de datos de gestión de la configuración o CMDB actualizada regularmente es útil aquí para catalogar el inventario.
2. Garantizar que estos activos estén correctamente configurados y parcheados a través de programas continuos de gestión de parches basados en el riesgo.
3. Comprender el impacto del riesgo de la cadena de suministro a través de auditorías y controles periódicos.
4. Construir una fuerte primera línea de defensa contra el phishing con una mejor formación y concienciación de los usuarios.
5. Abordar la gestión de la identidad y el acceso con la autenticación multifactor (MFA) en todas partes y un enfoque de mínimo privilegio para el acceso.
6. Considerar la posibilidad de ampliar lo anterior con un enfoque Zero Trust.
7. Recoger y analizar la telemetría de las herramientas de seguridad en todo el entorno para la rápida detección y respuesta a los incidentes.

Las organizaciones sanitarias europeas tienen obligaciones de cumplimiento no solo de la Directiva de Seguridad de las Redes y de la Información (NIS) de la UE para la continuidad del servicio, sino también del GDPR (para la protección de datos), así como de las leyes y reglamentos locales. La ENISA quiere ver equipos de respuesta a incidentes de seguridad informática (CSIRT) dedicados a la sanidad en cada Estado miembro. Pero, mientras tanto, las organizaciones sanitarias deben actuar por su cuenta. Sin una base informática segura en la que apoyarse, la asistencia sanitaria de la región estará siempre a merced de fuerzas malignas.