Un ciberataque a una clínica u hospital puede ser un asunto de vida o muerte, literalmente. Durante el 2020, mientras los sistemas de salud de todo el mundo cedían ante la presión de la pandemia de COVID-19, también tuvieron que sufrir las acciones de los cibercriminales. Una de las amenazas más significativas para las instituciones médicas durante el año pasado fueron los ataques de ransomware, en los que los cibercriminales cifraban los datos o extorsionaban a los directivos con la amenaza de publicar los archivos robados.
Las consecuencias de estos ataques son muy diversas. Además de la obvia y peligrosa interrupción de los servicios médicos, las empresas de salud se pueden enfrentar a todo tipo de repercusiones a largo plazo: desde multas regulatorias hasta quejas de los pacientes propietarios de la información personal robada.
Incidentes de ransomware de alto perfil
Uno de los casos más sonados del año pasado, y un indicativo de la gravedad del problema, fue el ataque de ransomware Ryuk dirigido contra Universal Health Services (UHS) el pasado septiembre. El grupo cuenta con 400 instituciones médicas en los Estados Unidos, el Reino Unido y otros países. Afortunadamente, no todos los hospitales y clínicas sufrieron el ataque, pero sí afectó a muchas instalaciones de UHS en los Estados Unidos. El incidente tuvo lugar a primera hora de una mañana de domingo: las computadoras de la compañía no consiguieron iniciarse y algunos empleados recibieron la demanda de rescate, además, la red telefónica también se vio afectada. El departamento de TI tuvo que solicitar al personal que trabajara “a la antigua”, es decir, sin TI. Como es natural, esto generó interferencias importantes en el funcionamiento normal de la clínica y afectó la atención a los pacientes, las pruebas de laboratorio, entre otras cosas. De hecho, algunas instituciones tuvieron que derivar a los pacientes a otros hospitales.
De acuerdo con un comunicado oficial de UHS, no hubo pruebas de que alguien hubiera accedido sin autorización, copiado o utilizado de manera indebida los datos de los empleados o pacientes. Sin embargo, en marzo de este mismo año, la empresa publicó un informe en el que afirmaba que el ataque había causado una pérdida de 67 millones de dólares, la cual incluía el costo de recuperación, los ingresos perdidos por el periodo de inactividad, la pérdida de pacientes, etc.
Mientras tanto, un incidente en Ascend Clinical, empresa especializada en la prueba y detección de enfermedades renales, provocó la vulneración de datos de más de 77,000 pacientes. La causa de la infección ya ha salido a la luz: un empleado hizo clic en un enlace de phishing de un correo electrónico. Después de penetrar en el sistema, los atacantes accedieron, entre otras cosas, a la información personal de los pacientes: nombres, fechas de nacimiento, números de seguridad social, etc.
Un ataque a Magellan Health en abril de 2020 comprometió la información personal tanto de empleados como de pacientes (365,000 víctimas, de acuerdo con la información de los medios). Los cibercriminales consiguieron, mediante ingeniería social, hacerse pasar por un cliente para acceder a la red interna, utilizar el malware para interceptar las credenciales de inicio de sesión y, por último, cifrar los datos del servidor.
En términos generales, cuando atacan a instituciones de salud, los cibercriminales prefieren cifrar y robar los datos de los servidores, en lugar de las estaciones de trabajo. Y esto mismo sucedió con los servidores del Florida Orthopedic Institute, cuando los atacantes cifraron los datos (previamente robados) de 640,000 pacientes. Como consecuencia, tuvieron que enfrentarse a una demanda colectiva.
Todo esto es tan solo un ejemplo de todos los incidentes de alto perfil que llegaron a las noticias el año pasado. De hecho, podríamos elegir entre una docena más.
Cómo pueden protegerse las instituciones de salud
El malware puede penetrar en un sistema de varias formas: mediante los archivos adjuntos en los correos electrónicos, los enlaces de phishing, los sitios web infectados, entre otras. Los atacantes pueden robar las credenciales de acceso remoto gracias a sus habilidades de ingeniería social o simplemente utilizar la fuerza bruta. El antiguo proverbio médico que afirma que más vale prevenir que curar también se puede aplicar a la ciberseguridad, por ejemplo, en la protección contra el ransomware. A continuación, compartiremos una serie de consejos de prevención contra el cibercrimen:
- Protege todos los dispositivos y no solo las computadoras. Los smartphones, tablets, terminales, quioscos de información, equipo médico y absolutamente cualquier aparato con acceso a la red corporativa e Internet.
- Mantén todos los dispositivos actualizados. De nuevo, no se trata solo de las computadoras. Puede que no pienses inmediatamente en la ciberprotección de un tomógrafo, por ejemplo, pero básicamente se trata de una computadora con un sistema operativo que podría tener vulnerabilidades. Lo ideal sería que la seguridad jugara un papel más importante en la elección del equipo, es decir, antes de comprar, al menos confirma con el proveedor si publica actualizaciones para su software.
- Instala soluciones de seguridad para proteger el correo electrónico. Debido a que las organizaciones médicas reciben muchos correos electrónicos, incluido spam, que puede no solo ser molesto, sino además también incluir archivos adjuntos maliciosos, la protección de las comunicaciones electrónicas es de vital importancia.
- Capacita a todos los empleados, esto incluye personal administrativo y doctores, así como cualquier otra persona con acceso a la tecnología, sobre los principios básicos en materia de ciberseguridad. Cada vez son más las tareas médicas que se han digitalizado, desde la recopilación de los expedientes médicos hasta consultas en videollamada. La sensibilización en materia de ciberseguridad necesita convertirse en una rutina, al igual que lo es el cubrebocas durante una cirugía.
- Muchos ataques de ransomware actuales se llevan a cabo de una forma que conocemos como método “manual”. Es decir, los cibercriminales que dirigen el ataque tienden a no disparar aleatoriamente el malware, sino a buscar la forma de infectar servidores y computadoras de víctimas específicas, a menudo usando la técnica de la ingeniería social. A veces, después de la infiltración en la red, estudian la infraestructura detenidamente en búsqueda de la información más valiosa. Para detectar esos ataques, para los cuales la protección de endpoints podría no ser suficiente, te recomendamos un servicio de detección y respuesta gestionadas para supervisar tu infraestructura de manera remota.