Un ciberataque a una clínica u hospital puede ser un asunto de vida o muerte, literalmente. Durante el 2020, mientras los sistemas sanitarios de todo el mundo cedían ante la presión de la COVID-19, también tuvieron que sufrir las acciones de los ciberdelincuentes. Una de las amenazas más significativas para las instituciones médicas durante el año pasado fueron los ataques de ransomware, en los que los ciberdelincuentes cifraban los datos o extorsionaban a los directivos con la amenaza de publicar los archivos robados.
Las consecuencias de estos ataques son muy diversas. Además de la obvia y peligrosa interrupción de los servicios médicos, las empresas sanitarias se pueden enfrentar a todo tipo de repercusiones a largo plazo: desde multas regulatorias hasta reclamaciones por parte de los pacientes de quienes han robado información personal.
Incidentes de ransomware de alto perfil
Uno de los casos más sonados del año pasado, y un indicativo de la gravedad del problema, fue el ataque de ransomware Ryuk dirigido contra Universal Health Services (UHS) el pasado septiembre. El grupo cuenta con 400 instituciones sanitarias en los Estados Unidos, el Reino Unido y otros países. Afortunadamente, no todos los hospitales y clínicas sufrieron el ataque, pero sí afectó a muchas delegaciones de UHS en los Estados Unidos. El incidente tuvo lugar a primera hora de una mañana de domingo: los ordenadores de la compañía no consiguieron iniciarse y algunos empleados recibieron la demanda de rescate, además, la red telefónica también se vio afectada. El departamento informático tuvo que solicitar al personal que trabajara según el método antiguo, es decir, sin informática. Como es natural, esto generó grandes interferencias en el normal funcionamiento de la clínica y afectó a la atención de los pacientes, las pruebas de laboratorio, etc. De hecho, algunas instituciones tuvieron que derivar a los pacientes a otros hospitales.
De acuerdo con un comunicado oficial de UHS, no hubo pruebas de que alguien hubiera accedido sin autorización, copiado o utilizado los datos de los empleados o pacientes. Sin embargo, en marzo de este mismo año, la empresa publicó un informe en el que afirmaba que el ataque había causado una pérdida de 67 millones de dólares, debido a los costes de recuperación, los ingresos perdidos por el periodo de inactividad, la pérdida de pacientes, etc.
Mientras, un incidente en Ascend Clinical, empresa especializada en la prueba y detección de enfermedades de riñón, provocó la filtración de datos de más de 77000 pacientes. La causa de la infección ya ha salido a la luz: un empleado hizo clic en un enlace de phishing de un correo electrónico. Después de penetrar en el sistema, los atacantes accedieron, entre otras cosas, a la información personal de los pacientes: nombres, fechas de cumpleaños, números de la seguridad social, etc.
Un ataque a Magellan Health en abril del 2020 comprometió la información personal tanto de empleados como de pacientes (365000 víctimas, de acuerdo con la información de los medios). Los ciberdelincuentes consiguieron, mediante ingeniería social, hacerse pasar por un cliente para acceder a la red interna, utilizar el malware para interceptar las credenciales de inicio de sesión y, por último, cifrar los datos del servidor.
En términos generales, cuando atacan a instituciones sanitarias, los ciberdelincuentes prefieren cifrar y robar los datos de los servidores, en lugar de las estaciones de trabajo. Y eso fue lo que sucedió con los servidores del Florida Orthopedic Institute cuando los atacantes cifraron los datos (previamente robados) de 640000 pacientes. Como consecuencia, tuvieron que enfrentarse a una demanda colectiva.
Todo esto es tan solo un ejemplo de todos los incidentes de alto perfil que saltaron a los medios el año pasado. De hecho, podríamos elegir entre una docena más.
Cómo pueden protegerse las instituciones sanitarias
El malware puede penetrar en un sistema de varias formas: mediante los adjuntos en los correos electrónicos, los enlaces de phishing, los sitios web infectados, etc. Los atacantes pueden robar las credenciales de acceso remoto gracias a sus habilidades de ingeniería social o simplemente utilizar la fuerza bruta. El antiguo proverbio médico que afirma que es mejor prevenir que curar también se puede aplicar a la ciberseguridad, por ejemplo, en la protección contra el ransomware. A continuación, compartiremos una serie de consejos de prevención contra la ciberdelincuencia:
- Protege todos los dispositivos y no solo los ordenadores. Los smartphones, tablets, terminales, puestos de información, equipo médico y absolutamente cualquier aparato con acceso a la red corporativa e Internet.
- Mantén todos los dispositivos actualizados. De nuevo, no se trata solo de los ordenadores. Puede que no caigas en la ciberprotección de un tomógrafo, por ejemplo, pero básicamente se trata de un ordenador con un sistema operativo que podría tener vulnerabilidades. Lo ideal sería que la seguridad jugara un papel más importante en la elección del equipo, es decir, antes de comprar, al menos confirma con el proveedor si publica actualizaciones para su software.
- Instala soluciones de seguridad para proteger el correo electrónico. Debido a que las organizaciones médicas reciben muchos correos electrónicos, incluido el spam, que puede no solo ser molesto, sino además también incluir archivos adjuntos maliciosos, la protección de las comunicaciones electrónicas es de vital importancia.
- Forma a todos los empleados sobre los principios básicos en materia de ciberseguridad y con todos nos referimos a los administradores, médicos y cualquier otra persona que tenga acceso a la tecnología. Cada vez son más las tareas médicas que se han digitalizado, desde la recopilación de los historiales médicos hasta las consultas en videollamada. La sensibilización en materia de ciberseguridad necesita convertirse en una rutina, al igual que lo es la mascarilla durante una cirugía.
- Muchos ataques de ransomware actuales se llevan a cabo de una forma que conocemos como método “manual”. Es decir, los ciberdelincuentes que dirigen el ataque tienden a no disparar aleatoriamente el malware, sino a buscar la forma de infectar servidores y ordenadores de víctimas específicas, a menudo usando la técnica de la ingeniería social. A veces, después de la infiltración en la red, estudian la infraestructura detenidamente en búsqueda de la información más valiosa. Para detectar esos ataques, para los cuales la protección de los endpoint podría no ser suficiente, te recomendamos un servicio de detección y respuesta gestionadas para supervisar tu infraestructura en remoto.