Se ha vuelto dolorosamente obvio que la ciberseguridad es algo fundamental para permitir que los médicos de hoy en día puedan brindar una atención de calidad a sus pacientes.
No dejamos de ver casos en todo el mundo como los recientes ciberataques contra la CommonSpirit Health, que comprometieron los datos personales de más de 600.000 pacientes; hospitales que han tenido incluso que enviar pacientes de emergencia a otros centros médicos después de que sus dispositivos se desconectaran; o el más reciente ocurrido en un centro hospitalario en Illinois (Estados Unidos) que se ha visto forzado a cerrar sus puertas después de un devastador ataque de ransomware y los altos costes de su rescate.
Y es que no es de exagerar decir que en el cuidado de la salud los ciberataques son una cuestión de vida o muerte. De hecho, una encuesta realizada por el Instituto Ponemon encontró que más del 20% de las organizaciones de atención médica informaron un aumento en las tasas de mortalidad de los pacientes después de experimentar una vulnerabilidad.
Desafortunadamente, estos incidentes ya no son infrecuentes. Durante este primer trimestre de 2023, el sector sanitario ha experimentado una media de 1.684 ataques por semana a nivel mundial, colocando a la sanidad entre las 3 industrias más afectadas. Una tendencia que continúa con el ya visto crecimiento del año pasado, cuando la industria de la salud experimentó un aumento interanual del 78% en los ciberataques.
Pero, ¿qué tienen de especial los hospitales para los ciberdelincuentes? La atención médica es un servicio esencial, por lo que engloba una gran cantidad de datos médicos. Para los ciberdelincuentes, violar una organización de atención médica proporciona acceso a esos datos confidenciales que pueden retenerse para pedir un rescate, además de otorgarles la garantía de una gran cobertura mediática y notoriedad. Ambos factores ponen a las víctimas bajo una inmensa presión, lo que aumenta la probabilidad de que se pague una alta tarifa de rescate.
Por otra parte, el sector de la salud es vulnerable por varias razones. La creciente sofisticación y cantidad de ciberataques no es una amenaza para la que estas organizaciones estén preparadas. Muchos hospitales dependen de una combinación de tecnologías antiguas y nuevas, la mayoría de las cuales no se gestionan directamente o se olvidan debido a una documentación inadecuada. Un problema que solo ha aumentado con el tiempo, a medida que se agregan más dispositivos IoT (Internet de las cosas), los cuales rara vez se construyen de forma segura por diseño.
Todo ello junto con la actual escasez de habilidades y personal de ciberseguridad llevan a que la superficie de ataque cada vez mayor, con un objetivo de alto valor y muchos puntos de entrada potenciales.
Con tan solo adoptar un enfoque de prevención para proteger a los hospitales, proveedores y pacientes, podemos evitar que ocurran incidentes como la interrupción del servicio, o el robo o destrucción de los datos médicos. De esta manera, el personal médico no tendrá que preocuparse por si podrá acceder a los registros médicos digitales o si pueden confiar en sus instrumentos médicos para tratar de manera óptima a sus pacientes.
Y es que los pacientes merecen una atención de calidad que mantenga sólidos resultados de salud física, intelectual y emocional, y la seguridad de sus datos es ya un componente clave. Debemos ser conscientes de que un ciberataque tiene el potencial de afectar la salud física de un individuo o población determinada, y puede causar dificultades sociales y emocionales si la información personal se ve comprometida y encuentra su camino a la vista del público.
En conversaciones recientes con los oficiales de seguridad de la información (CISO) de la atención médica, se puede ver el claro deseo de comprender cómo garantizar la salud de todos, en todas partes, y con la máxima certeza. Actualmente existe una fuerte cultura de colaboración en la industria, con el intercambio de mejores prácticas y lecciones aprendidas para tomar medidas.
No debemos perder de vista la importancia de la buena salud. Hay que seguir dedicados a proteger a nuestras instituciones y proveedores de atención médica.
***Mario García es director general de Check Point Software para España y Portugal.