A medida que las organizaciones de prestación de servicios de salud tratan de mejorar la calidad de la atención y los resultados de los pacientes, mediante el aumento del número de dispositivos médicos utilizados para prestar y apoyar los servicios como las bombas de infusión o los monitores de cabecera, la posibilidad de un ciberataque crece. Esto crea una necesidad urgente de un enfoque de ciberseguridad más fuerte y completo en el sector sanitario, que incluya el Internet de las cosas médicas (IoMT).
La preocupación por los ciberataques a los dispositivos médicos forma parte de un problema mayor, ataques a las redes hospitalarias. La pandemia ha acelerado los ataques de phishing y ransomware en este sector, y se espera que un tercio de las organizaciones sanitarias sean objeto de ransomware en 2022. También han crecido los incidentes de exposición de datos. El informe de Verizon sobre investigaciones de fugas de datos de 2020 reveló que "las fugas de datos confirmadas en el sector sanitario aumentaron un 58%" en 2020.
En España, la sanidad pública ha sufrido ya 38 ciberataques de alto riesgo desde enero hasta abril de 2022, según datos del Centro Nacional de Inteligencia (CNI). Esta cifra es alarmante ya que va camino de superar la del año pasado, 128 en todo el año. Desde el inicio de 2022 hemos visto como varios centros hospitalarios como el Hospital Centro de Andalucía y el Vall d'Hebron han sido objetivo de ciberataques, una situación que debe hacernos estar alerta sobre cómo pueden protegerse los centros sanitarios ante este nuevo tipo de amenazas.
Los dispositivos médicos conectados, pero mal protegidos, son sólo una de las muchas formas en que los ciberdelincuentes pueden comprometer una red sanitaria. Sin embargo, debido al papel único que desempeñan estos dispositivos en la atención al paciente, y a los riesgos potenciales para su seguridad, es importante crear nuevas normas para la seguridad de los dispositivos médicos.
Un riesgo para las organizaciones sanitarias
Los dispositivos médicos que funcionan con contraseñas débiles o predeterminadas, software sin parches y problemas de firmware, que no están actualizados, ofrecen a los atacantes varias opciones para intervenir en una red sanitaria crítica. Así, pueden lanzar ataques, exportar datos o interferir potencialmente en las operaciones.
Los ataques de ransomware son un problema muy grave para las organizaciones sanitarias y los hospitales de todo el mundo. En mayo de 2021, el sistema sanitario público de Irlanda se cayó debido a un ataque de ransomware, lo que provocó el aplazamiento de miles de cirugías y vacunaciones de covid-19, mientras los proveedores se vieron obligados a cambiar a operaciones en papel a una velocidad récord.
Los analistas han señalado que el sistema podría tardar meses en restablecerse por completo, y el precio de esa recuperación podría ascender a unos 576 millones de euros.
Un riesgo para la salud y los datos de los pacientes
Cuando los dispositivos no cuentan con suficientes medidas de seguridad, existen riesgos para los pacientes. Las repercusiones más frecuentes son las violaciones de la privacidad por la exposición de datos personales, que pueden dar lugar a fraudes en el pago de seguros o a robos de identidad.
Además de las filtraciones de datos personales, también existen riesgos para la atención al paciente, como el mal funcionamiento de un dispositivo como un marcapasos o la modificación del flujo de trabajo de una bomba de infusión, lo que lleva a la administración de una medicación incorrecta.
Con tanto en juego para proveedores y pacientes, ¿por qué los dispositivos médicos conectados no son seguros? Hay varias razones:
- Muchos dispositivos carecen de parches o actualizaciones de firmware
- Las actualizaciones de firmware y software suelen retrasarse o programarse con flexibilidad
- Los sistemas operativos obsoletos comprometen la seguridad
- Los errores humanos provocan riesgos de ransomware
Dado que cualquier dispositivo o cuenta de correo electrónico de una organización puede ser un punto de entrada para los atacantes, y dado que estos ataques pueden propagarse rápidamente a otros dispositivos de la red, los equipos de seguridad sanitaria deben reforzar el flujo de trabajo de las operaciones de seguridad para incluir una respuesta prioritaria, como la integración de las mejores prácticas en enfoques basados en la supervisión continua.
Con el tiempo, estas métricas pueden revelar puntos fuertes, como las áreas en las que los equipos necesitan recursos de seguridad adicionales para responder con la mayor rapidez y eficacia posible.
La capacidad de identificar todos los dispositivos de un entorno sanitario, desde las máquinas de resonancia magnética y de farmacia hasta los televisores inteligentes y los ordenadores portátiles de los empleados, es un elemento fundamental para crear modelos de riesgo y amenaza realistas. La visibilidad médica completa también muestra cómo se comunican los dispositivos entre sí y con los de las redes externas.
Mediante la creación de una cultura centrada en la seguridad y el uso de la tecnología para proteger a los pacientes y a los trabajadores, así como para garantizar una atención segura y eficiente, las organizaciones del sector sanitario pueden mejorar su resiliencia cibernética, al tiempo que reducen la superficie de ataque, mejorando la seguridad de los pacientes.
*** Oscar Miranda es CTO de Sanidad en Armis.