Hoy, en la Cumbre 2024 Health-ISAC Fall Americas, Censys compartió los hallazgos de los riesgos de ciberseguridad que afectan a más de 500.000 activos orientados a Internet en más de una docena de organizaciones sanitarias de todo Estados Unidos. Esta investigación subraya la necesidad apremiante de contar con recursos sólidos de ciberseguridad en una industria que maneja grandes cantidades de datos personales y médicos confidenciales.
Examen de las infraestructuras sanitarias críticas
En noviembre de 2024, Censys realizó un análisis en profundidad de una docena de organizaciones sanitarias de todo el país. Este análisis arroja luz sobre las vulnerabilidades sistémicas del sector sanitario, que ha adoptado cada vez más herramientas digitales como la telemedicina, las aplicaciones móviles, los portales de pacientes y el análisis de macrodatos para mejorar la prestación de asistencia y la eficiencia operativa.
"Durante la última década, hemos sido testigos de un aumento en la digitalización de los sistemas de salud para satisfacer las necesidades cambiantes de los pacientes y de la infraestructura", dijo Himaja Motheram, Investigador de Seguridad, en Censys. "Esto ha aumentado la complejidad de la seguridad sanitaria, introduciendo una amplia gama de sistemas de integración de datos y software de terceros que pueden ser objetivo de los operadores de ransomware".
Lagunas de ciberhigiene
El estudio detectó una serie de lagunas críticas en materia de ciberhigiene, como software obsoleto, cifrado deficiente y configuraciones erróneas, que en conjunto aumentan el impacto de los ciberataques.
La investigación identificó los servicios web mal configurados como el problema más generalizado en todo el sector. Los certificados y protocolos de seguridad caducados, mal configurados o inexistentes -críticos para salvaguardar los datos de los pacientes- eran frecuentes. Además, muchas organizaciones albergaban entornos que ejecutaban software que había llegado al final de su vida útil, lo que indicaba unas prácticas deficientes de inventario de activos y ampliaba considerablemente su superficie de ataque.
"El problema más endémico en el sector sanitario es la falta de ciberhigiene en la configuración de los servicios web expuestos. Las tendencias más preocupantes tienen que ver con el uso inadecuado de certificados, protocolos y políticas de contenido que deberían utilizarse conjuntamente para proteger los datos de los pacientes, pero que están caducados, mal configurados o no existen en absoluto", afirma Michael Schwartz, Director de Investigación y Análisis de Amenazas de Censys. "Complica aún más la cuestión el número de aparentes entornos de almacenamiento en línea que ejecutan software que ha llegado al final de su vida útil y que pueden haber sido olvidados; esto suele indicar un problema general de inventario de activos y aumenta innecesariamente la superficie de ataque de una organización". Las vulnerabilidades críticas y conocidas también están presentes en todo el sector y, de nuevo, pueden apuntar a problemas de gestión del inventario. Las configuraciones de seguridad erróneas, la ausencia de políticas de seguridad, las vulnerabilidades sin parches y el software que ha llegado al final de su vida útil son objetivos de explotación y constituyen una receta para el acceso no autorizado a datos y plataformas sanitarios. "
Dentro de estos hallazgos, Censys vio:
Servicios expuestos:Censys identificó más de 15 casos de servicios expuestos, incluidos RDP, TELNET, SMB y SNMP, que podrían estar en peligro. Estos servicios suelen ser el objetivo de los agresores con distintos fines: obtener acceso remoto no autorizado (RDP, TELNET, SMB) o realizar un reconocimiento de la red (SNMP). La exposición de estos servicios aumenta la superficie de ataque de las organizaciones sanitarias.
Vulnerabilidades de software:Se identificaron riesgos significativos en sistemas de software específicos, incluidas vulnerabilidades conocidas en los productos Ivanti Connect, Jenkins, Exim y OpenSSH. En particular, había más de una docena de instancias de la vulnerabilidad crítica de Jenkins CVE-2024-23897, un riesgo grave que actualmente está etiquetado en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA. Además, una organización tenía casi 50 instancias de Ivanti Connect Secure expuestas, un producto con un largo historial de CVE críticas, incluidas CVE-2024-21894, CVE-2024-22052, CVE-2024-22053 y CVE-2024-22023.
"En el último año, hemos visto una serie de dispositivos de borde, en particular, en el punto de mira de los actores de amenazas", dijo Schwartz, refiriéndose al número de vulnerabilidades críticas que afectan a algunos de los principales proveedores de cortafuegos y VPN.
Exposiciones a MOVEit:Las vulnerabilidades de MOVEit MFT del año pasado fueron ampliamente explotadas por grupos de ransomware, concretamente el grupo CL0P Ransomware. Censys supervisó estas exposiciones durante el año pasado y descubrió que el 30% de las organizaciones sanitarias de la muestra todavía tienen colectivamente 24 instancias de MOVEit expuestas. Dada la escala de la campaña de explotación, incluso los sistemas que no son directamente vulnerables no deberían estar expuestos. Esto sugiere que estos activos expuestos pueden ser desconocidos o no supervisados por sus respectivas organizaciones.
Certificados revocados:Aunque la presencia de más de 800 certificados caducados es preocupante, Censys también detectó 30 certificados revocados en diferentes sistemas. Los certificados revocados representan un riesgo más importante y urgente, ya que son certificados que se marcaron como no fiables antes de su vencimiento programado, a menudo debido a un compromiso o vulnerabilidad. Si no se gestionan adecuadamente, pueden dejar los sistemas expuestos a accesos no autorizados, y podrían indicar problemas mayores con la gestión de certificados y accesos.
También prevalecían problemas como una selección de cifrado TLS débil, falta de cabeceras de seguridad y mecanismos de autenticación inadecuados. Además, se detectaron varias páginas de inicio de sesión y servicios de correo electrónico POP3 sin cifrar, lo que dejaba datos confidenciales vulnerables a la interceptación.
Productos sanitarios y sistemas de riesgo
El estudio reveló que las organizaciones sanitarias exponían colectivamente más de 100 dispositivos y sistemas médicos a la Internet pública. Entre ellos se encontraban los sistemas EPIC EMR, NextGen Healthcare Mirth Connect, ResolutionMD PACS y el software de imagen médica XERO Viewer. Resulta alarmante que un único proveedor fuera responsable del 90% de estas exposiciones, lo que hace temer por los riesgos de la cadena de suministro en el sector sanitario.
En una investigación previa realizada este año, Censys identificó 14.004 direcciones IP únicas que exponían dispositivos sanitarios y sistemas de datos conectados a información médica potencialmente sensible en la Internet pública.
"Estos riesgos ponen de manifiesto la necesidad de que las organizaciones sanitarias vigilen de cerca sus dispositivos y sistemas médicos conectados a Internet y consideren la posibilidad de protegerlos aún más con cortafuegos, segmentación de red y AMF", afirma Motheram.
Intercambio de información
Censys presentó hoy esta investigación a las organizaciones en la Cumbre 2024 Health-ISAC Fall Americas, alentando a la industria a revisar las brechas en el inventario de activos, las configuraciones de seguridad y la planificación de respuesta a incidentes. Al adoptar estrategias de ciberseguridad proactivas e integrales, podemos proteger mejor los datos y las operaciones de los pacientes en un panorama cada vez más digitalizado y dirigido".
