En 2024, se estima que los dos mayores incidentes cibernéticos en el sector sanitario afectaron a más de 100 millones de personas, incluidos pacientes y proveedores a través de un panorama digital interconectado de aseguradoras y proveedores de atención sanitaria. En octubre de 2024, se habían registrado 386 ataques de ciberseguridad en Estados Unidos contra proveedores sanitarios y de terceros, siendo Change Healthcare y Kaiser Permanente algunos de los más importantes. Ha sido, objetivamente, el peor año de la historia para las brechas de seguridad en la atención sanitaria.
Dado que un ataque de ransomware puede mantener secuestrados sistemas y dispositivos conectados hasta que se pague un rescate, los malos actores saben que la sanidad es un objetivo prioritario; apuestan por el deseo de reducir las interrupciones en el paciente crítico como una fuerte motivación para el pago. La amenaza a los sistemas sanitarios de todo el mundo es tan grave que las Naciones Unidas la han calificado de "amenaza global que no puede ignorarse", y el Director General de la ONU ha señalado: "El ransomware y otros ciberataques a hospitales y otros centros sanitarios no son sólo cuestiones de seguridad y confidencialidad, pueden ser cuestiones de vida o muerte. En el mejor de los casos, estos ataques causan trastornos y pérdidas económicas. En el peor, socavan la confianza en los sistemas sanitarios de los que dependen las personas, e incluso causan daños y la muerte de pacientes."
El Director de Ciberseguridad de McLaren Health, Doug Vondera, se unió recientemente a la Directora de Alianzas Estratégicas de Censys , Celestine Jahren, para hablar sobre lo que está ocurriendo en la ciberseguridad sanitaria, centrándose en los retos -y oportunidades- a los que se enfrentan los líderes de seguridad. He aquí algunas de las principales conclusiones de su conversación.
Retos de la seguridad sanitaria
A medida que las herramientas de ciberseguridad han ido avanzando, también lo han hecho los métodos utilizados por los ciberdelincuentes. Sus tácticas evolucionan tan rápidamente como las herramientas de seguridad que se desarrollan para detenerlos. Como comentaron Vondera y Jahren, el sector sanitario es especialmente vulnerable a las amenazas.
La sanidad tiene importantes problemas de deuda tecnológica
Las fusiones y adquisiciones son la naturaleza de las redes sanitarias modernas. La unión de varias organizaciones, cada una con su propia pila tecnológica, puede generar una importante deuda tecnológica y lagunas de seguridad. Esto facilita a los delincuentes explotar las vulnerabilidades mediante phishing, software sin parches e incluso técnicas de subsistencia.
El personal sanitario no es un profesional de la seguridad
El personal de los hospitales, los trabajadores de las clínicas, los investigadores y todos los que forman parte de la primera línea de la atención sanitaria inician sesión, pasan la tarjeta, se identifican y se conectan a los portales sanitarios miles de veces al día. Son un eslabón crucial en la cadena de seguridad, pero ninguna de esas personas eligió dedicarse a la informática, nos recuerda Vondera. Los responsables de seguridad tienen la responsabilidad de transmitir de forma sucinta las necesidades y los riesgos de seguridad, darles sentido y quitarle la responsabilidad al usuario final, porque su trabajo es cuidar de los pacientes.
Los dispositivos conectados son esenciales, y también muy vulnerables
Una preocupación constante de los equipos de seguridad sanitaria es cómo proteger los miles de dispositivos conectados que son fundamentales para la atención al paciente y, al mismo tiempo, mantenerlos operativos. El gran número de dispositivos y la necesidad de conectividad constante hace que sean difíciles de parchear, mantener e incluso inventariar, pero cada dispositivo conectado puede servir como un punto de acceso que, si se vulnera, podría conducir a un movimiento lateral a través de la red y a una exposición significativa de los datos.
Los recursos financieros limitan la asistencia sanitaria
En general, las organizaciones sanitarias no tienen las mismas prioridades de inversión que otras empresas. Sus presupuestos de seguridad son mucho más reducidos que los de otros sectores, con sólo un 4-7% del presupuesto de TI de un sistema sanitario asignado a ciberseguridad, frente al 15% de otros sectores. Las organizaciones sanitarias tienen que ser estratégicas con las inversiones en seguridad, ya que más herramientas equivalen a más costes. Los ciberdelincuentes lo saben y se centran sistemáticamente en las áreas con menos visibilidad y protección, que normalmente serían más seguras con herramientas más costosas.
Oportunidades para los responsables de seguridad sanitaria
Vondera ha dirigido equipos de seguridad y operaciones informáticas durante casi dos décadas, y tiene una gran experiencia en ayudar a los equipos de seguridad a marcar la diferencia con los recursos que ya tienen. En su conversación con nosotros, compartió recomendaciones que, en su opinión, pueden contribuir a un enfoque holístico de la seguridad por capas en los entornos sanitarios.
Explore el papel de la automatización
Configurar la automatización es una de las formas más inmediatas de hacer más cosas con equipos pequeños y sin recursos. Es casi imposible rastrear y gestionar una superficie de ataque manualmente, y explorar a fondo las capacidades de automatización de las herramientas que ya está utilizando puede ayudar a reducir el riesgo al tiempo que libera recursos valiosos en su equipo. Esto incluye comprender el papel de la IA en su tecnología de seguridad; saber cómo interactuar correctamente con las herramientas de IA generativa puede permitir mejoras significativas en la automatización.
Tenga en cuenta al usuario final
La experiencia del usuario es importante, y dar a los usuarios la posibilidad de opinar sobre las herramientas que utilizan impulsa la adopción. Vondera recomienda colaborar con los proveedores sanitarios y pedir a los médicos su opinión sobre la experiencia de usuario para ayudar a reconocer y eliminar las fricciones.
Utilizar un marco
"Si no sabes lo que tienes, no sabes cómo protegerlo", recuerda Vondera a los equipos. El Center for Internet Security Critical Security Controls ayuda a los equipos de seguridad a ajustarse a las normas y marcos del sector en constante evolución con una hoja de ruta paso a paso para reforzar sus ciberdefensas, y todo empieza por inventariar sus activos para tener una idea clara de su superficie de ataque. Los profesionales de la seguridad que restan prioridad a los aspectos básicos tienden a tener dificultades, pero trabajar con un enfoque altamente estructurado como el CIS ayuda a las organizaciones a madurar sus programas de seguridad con mayor rapidez. En el caso de las organizaciones sanitarias, la madurez podría consistir en comenzar con la macrosegmentación de activos, crear una estrategia de microsegmentación y, a continuación, desplegar una política de microsegmentación dinámica que pueda eliminar automáticamente los dispositivos durante un incidente cibernético.
Dar prioridad al tipo de educación adecuado
La formación en ciberseguridad abarca la educación y el entrenamiento de los usuarios finales, pero centrarse en oportunidades de formación especializada para su personal de TI puede ayudar a reforzar sus resultados de seguridad. Invertir en certificaciones como Systems Security Certified Practitioner y Certified Information Systems Security Professional puede tener un gran impacto, ya que permite a los equipos más pequeños y con menos recursos disponer de un conjunto de conocimientos más profundos y avanzados.
Saber qué hace fuerte a un equipo
La principal prioridad de contratación de Vondera se centra en el ajuste organizativo, con especial énfasis en "encontrar personas que entiendan el compromiso". Esto significa estar abierto a incorporar desarrolladores, arquitectos y otros cargos técnicos de diferentes procedencias para proporcionar un conjunto de competencias bien redondeado. Los jefes de equipo también deben dedicar tiempo a comprender el agotamiento asociado a la ciberseguridad, porque puede tener un impacto considerable en los resultados de la seguridad.
Si no sabes lo que tienes, no sabes cómo protegerlo - Doug Vondera, McLaren Health Care
El estado de la seguridad en la sanidad no va a hacer más que agravarse. Los hackeos de la sanidad son una preocupación creciente para los legisladores estadounidenses, con equipos de ejecutivos sanitarios, abogados y congresistas trabajando para legislar cambios en la seguridad del sector sanitario y conseguir financiación para ayudar a apoyar los avances en infraestructuras y otras mejoras necesarias.
Censys permite a las organizaciones sanitarias ser proactivas frente a estos riesgos; nuestra visibilidad completa de los dispositivos vulnerables, los riesgos de terceros y la evolución de la infraestructura ayuda a proteger los datos de los pacientes y los sistemas críticos frente a los ciberataques. Nuestra inteligencia ayuda a los equipos de seguridad a descubrir riesgos y salvaguardar activos para reducir la exposición de los historiales médicos de los pacientes, respaldar el cumplimiento normativo y supervisar y proteger las visitas de telesalud.
Si desea conocer más a fondo los riesgos y las recomendaciones en materia de ciberseguridad sanitaria, consulte el seminario web completo con Vondera, disponible a la carta aquí.
