Si se ha mantenido al día de los titulares de seguridad de este año, o si usted mismo está en primera línea de la seguridad sanitaria, sabrá que las redes sanitarias se encuentran en una batalla cada vez más intensa contra los ciberataques. Al ser uno de los sectores más atacados, la sanidad no sólo se enfrenta a un volumen de ataques cada vez mayor, sino también a algunos de los costes más elevados cuando las violaciones tienen éxito.
Según los informes del Departamento de Salud y Servicios Humanos, las filtraciones de datos sanitarios no han dejado de aumentar. De 2018 a 2022, el número de grandes filtraciones notificadas aumentó un 93 %, y las filtraciones relacionadas con ransomware experimentaron un asombroso aumento del 278 % durante el mismo periodo.
En cuanto a 2024, los informes sugieren un aumento continuado de las infracciones sanitarias en comparación con 2023. Según el Departamento de Salud y Servicios Humanos, en el primer semestre de 2024 se produjeron 341 brechas de seguridad en organizaciones sanitarias solo en Estados Unidos.
Estos ataques pueden tener profundas consecuencias que van más allá del daño a las propias redes. En algunos casos, la salud de los pacientes se ve comprometida. Como informó Cyberscoop, Microsoft descubrió recientemente que los ataques de ransomware a hospitales han provocado peores resultados en la atención a los pacientes. Cuando las operaciones hospitalarias se detienen y los pacientes son desviados a otros hospitales, se observa un efecto indirecto, en el que "los hospitales no afectados ven un aumento de pacientes, lo que lleva a que los casos de ictus aumenten un 113% y los casos de paro cardíaco se disparen un 81%. Las tasas de supervivencia también descendieron en esos casos de parada cardiaca".
Por qué los ciberdelincuentes atacan la sanidad: Datos, interrupción y lagunas en la defensa
Los actores de amenazas se centran en lanzar ataques contra organizaciones sanitarias por varias razones:
Los datos son amplios y de gran valor. Una sola organización sanitaria puede albergar miles de historiales de pacientes con información personal, médica y financiera. Cuando esta valiosa información se toma como rehén en ataques de ransomware, muchas organizaciones sanitarias están dispuestas a pagar el rescate (o creen que no tienen otra opción), lo que las convierte en objetivos aún más lucrativos para los actores de amenazas.
La interrupción de las operaciones puede ser significativa. Las amenazas que buscan el máximo impacto pueden acaparar titulares cuando se dirigen a organizaciones sanitarias. Como se ha señalado anteriormente, hemos visto ciberataques que han dejado fuera de servicio sistemas y dispositivos enteros, provocando la paralización de las operaciones y la pérdida de acceso de los pacientes a la atención sanitaria.
Pueden faltar medidas de seguridad. Al igual que el sector de los servicios financieros, la sanidad ha experimentado una importante transformación digital en las dos últimas décadas, y algunos sistemas sanitarios se han enfrentado al reto de implementar las medidas de seguridad necesarias para proteger la gran cantidad de información de pacientes y proveedores que ha migrado a Internet.
Las organizaciones sanitarias saben que tienen que tomar medidas para evitar ataques con éxito, y con rapidez. En un nivel fundamental, esto significa pasar de una respuesta de seguridad reactiva -que hemos visto en abundancia en los últimos años- a una defensa de seguridad proactiva que mejore la higiene de seguridad básica de la organización.
Adoptar una postura de seguridad proactiva tiene muchas dimensiones, pero veamos algunas de las formas más impactantes en que los equipos de seguridad sanitaria pueden mejorar su ciberhigiene y prevenir ataques exitosos.
Lograr una ciberhigiene proactiva
1. Priorizar los activos expuestos para una acción inmediata
Identificar rápidamente y priorizar los activos expuestos en la superficie de ataque es uno de los mayores retos -y oportunidades- para los equipos de seguridad sanitaria. Esto se debe a que las exposiciones sirven como puntos de entrada fáciles para los atacantes. De hecho, un informe reciente del Instituto Cyentia revela que los activos expuestos al público son los principales puntos de entrada para los ataques de ransomware, que las organizaciones sanitarias sufren más que cualquier otro sector según los informes del FBI. Puede obtener más información sobre las conclusiones del Instituto Cyentia en nuestro blog.
¿Qué dificulta la detección y el tratamiento de estos riesgos? La proliferación de superficies de ataque ha generado enormes volúmenes de activos que necesitan parches. Determinar qué activos hay que tratar primero puede resultar complicado y llevar mucho tiempo. Además, cuando se anuncian nuevas vulnerabilidades, los equipos suelen disponer de poco tiempo para averiguar qué activos de su superficie de ataque están afectados antes de que los atacantes entren en acción.
La revolución digital de la sanidad, que incluye el aumento de los dispositivos médicos conectados a Internet, ha propagado aún más el volumen de exposiciones potenciales en la superficie de ataque de la sanidad. Para contextualizar, el equipo de Censys Research observó recientemente más de 14.000 direcciones IP únicas que exponen dispositivos sanitarios y sistemas de datos conectados a información potencialmente sensible en la Internet pública.
Los sistemas heredados también crean riesgos. Según el Hospital Cyber Resiliency Initiative Landscape Analysis, el 96% de los hospitales pequeños, medianos y grandes afirman que operaban con sistemas operativos o software obsoletos con vulnerabilidades conocidas.
Los equipos de seguridad sanitaria necesitan formas eficientes de identificar, priorizar y parchear estas exposiciones. La gestión de la superficie de ataque es una forma automatizada y escalable de que los equipos consigan visibilidad en tiempo real de todos sus activos digitales de cara al público, tanto conocidos como desconocidos, y obtengan el contexto esencial necesario para priorizar estratégicamente los riesgos. Esta información contextualizada y actualizada permite a los equipos comprender dónde existen vulnerabilidades y qué vulnerabilidades deben abordarse en primer lugar. Puede obtener más información sobre la gestión de la superficie de ataque en este artículo técnico ASM 101.
2. Obtener visibilidad del riesgo de adquisiciones y proveedores externos
Las filiales sanitarias, las adquisiciones, los proveedores externos y los socios de la cadena de suministro se han convertido en objetivos cada vez más atractivos para las amenazas. Han aprendido que para perturbar un sistema sanitario no es necesario penetrar directamente en el sistema, sino que se puede acceder a él a través de activos expuestos en la superficie de ataque de una filial conectada o de un proveedor externo. Atacar a proveedores externos y a la cadena de suministro en general resulta especialmente atractivo para los autores de amenazas, ya que pueden atacar no sólo al proveedor, sino a todas las entidades conectadas a él. Cuando demasiados sistemas sanitarios dependen de los mismos proveedores, todo el sector puede verse afectado.
Para que las organizaciones sanitarias puedan prevenir este tipo de ataques, necesitan obtener una visibilidad continua del riesgo potencial en todos sus ecosistemas de socios. Los sistemas de gestión de riesgos de terceros están diseñados para ayudar a proporcionar esta visibilidad, pero estas soluciones a menudo no proporcionan los datos en tiempo real que los equipos de seguridad necesitan para actuar con rapidez (por ejemplo, para saber si un socio de su ecosistema está afectado por una nueva vulnerabilidad de día cero).
El acceso a fuentes de inteligencia de Internet en tiempo real, como la inteligencia de Internet patentada disponible en Censys Search, puede proporcionar a los equipos la visibilidad inmediata del riesgo de terceros necesaria para una defensa proactiva. Lamentablemente, a la mayoría de los equipos aún les queda mucho camino por recorrer en este frente. Según un informe elaborado en colaboración con el Departamento de Salud y Servicios Humanos, "sólo el 49% de los hospitales afirma tener una cobertura adecuada en la gestión de los riesgos de la cadena de suministro". Además, el riesgo de terceros y de la cadena de suministro se clasifica como la tercera amenaza más importante entre 288 CISO, encuestados como parte del Informe de Amenazas H-ISAC 2023".
3. Supervisar protocolos y sistemas vitales con inteligencia de Internet fiable
Los equipos de seguridad sanitaria necesitan además una visibilidad continua de los protocolos y sistemas vitales que son críticos para sus operaciones. La supervisión de estos protocolos y sistemas específicos puede ayudar a los equipos a identificar más rápidamente los activos potencialmente vulnerables en su superficie de ataque para la detección avanzada de amenazas, así como una respuesta rápida a los incidentes. Sin embargo, en infraestructuras digitales complejas que dependen de cientos de sistemas de software, vigilar estos diversos protocolos sin una fuente de inteligencia fiable puede ser más fácil de decir que de hacer.
Censys proporciona acceso a miles de millones de servicios, hosts y certificados que los equipos de seguridad pueden consultar de forma proactiva. Dentro de este amplio conjunto de datos de Internet, los equipos de seguridad pueden realizar consultas para identificar y supervisar protocolos y sistemas informáticos sanitarios críticos. Por ejemplo, los equipos pueden buscar el protocolo Hospital Information System (HIS), que da cuenta de los sistemas que albergan información financiera, clínica y administrativa. Los protocolos DICOM, HL7 y EHR, entre muchos otros, también pueden detectarse mediante Censys.
Censys facilita la búsqueda de estos sistemas y protocolos mediante etiquetas. Las etiquetas permiten limitar rápidamente el alcance de una búsqueda a los sistemas y protocolos pertinentes. Las etiquetas "dispositivo médico", "acceso remoto" y "archivos compartidos" pueden ser especialmente útiles para los equipos de seguridad sanitaria. La automatización de consultas guardadas permite además a los equipos ejecutar consultas en estos sistemas y protocolos informáticos críticos de forma diaria y automatizada.
Pasar de la reactividad a la resiliencia
A medida que los atacantes siguen atacando la atención sanitaria por sus datos confidenciales y su potencial de interrupción operativa, ha llegado el momento de que los equipos de seguridad sanitaria eleven sus defensas. Al priorizar los activos expuestos, mejorar la visibilidad de los riesgos de terceros y supervisar los protocolos vitales, las organizaciones sanitarias pueden mitigar las vulnerabilidades, gestionar mejor su superficie de ataque y, lo que es más importante, proteger la seguridad y la confianza de los pacientes.
¿Quiere saber más?
Consulte nuestra Lista de comprobación de ciberhigiene sanitaria para conocer otras buenas prácticas de seguridad.
