Cada vez que un centro sanitario, hospital, ambulatorio o clínica es ciberatacado todos corremos un grave peligro. No sólo por lo evidente que resulta que un recurso fundamental para la sociedad como es la sanidad se vea atacado, con las consecuencias para la vida y la salud de las personas que eso conlleva, sino también para algo que, en ocasiones, se olvida: la compraventa de nuestros datos personales, identidades e historiales clínicos y el uso fraudulento que hacen de ellos.

Barcelona acaba de vivir una de estas situaciones. El Hospital Clínic sufrió recientemente un ciberataque de gran magnitud que paralizó sus sistemas, obligándolo a anular más de 3.000 visitas médicas debido a un ataque de ransomware, que afectó no sólo a las tres sedes del hospital, sino también a tres centros de atención primaria de Barcelona. Los ciberdelincuentes pidieron un rescate para recuperar los datos robados, por un valor de más de 4 millones de dólares, pero el Govern se negó a negociar con ellos. Desafortunadamente, no es un caso aislado en España. Según un estudio realizado por Proofpoint y el Instituto Ponemon, el 89% de las organizaciones sanitarias ha sufrido una media de 43 ataques en los últimos 12 meses, casi uno por semana. Ante estos alarmantes datos, debemos preguntarnos ¿estamos preparados para proteger nuestro sistema sanitario?

Hay un elemento clave en este incremento de ataques al sistema de salud: el acelerado proceso de digitalización que está experimentando la sanidad. Esto ha provocado que, por un lado, exista un perímetro de seguridad que cubrir cada vez más amplio, unos dispositivos conectados, en muchos casos obsoletos, y una falta de concienciación en ciberseguridad de los profesionales sanitarios, que dan lugar a errores que pueden comprometer la seguridad del sistema. Ante esta situación, los departamentos de IT de los centros sanitarios están sometidos a una enorme presión y necesitan prepararse frente a una serie de amenazas muy peligrosas que aún están por venir.

Principales amenazas del sistema sanitario

La mayoría de los ciberdelincuentes consiguen entrar comprometiendo credenciales para tener acceso a cuentas con privilegios del personal sanitario, para acceder a datos críticos, como historiales médicos de pacientes, o bien para tomar el control de dispositivos médicos conectados, para de esta forma extorsionar y pedir rescates económicos o conseguir información que luego poder vender. Pero ¿qué tipo de amenazas son las más frecuentes?

Pensar que los ciberdelincuentes sólo atacan a los empleados con acceso a datos críticos sería un gran error. La mayoría de los trabajadores utilizan cuentas con privilegios de administrador en sus propios ordenadores, todo lo que necesitan los atacantes es comprometer este tipo de cuentas y obtener acceso al sistema. Los ciberdelincuentes suelen utilizar ataques de phishing o contraseñas comprometidas con el objetivo de infiltrarse en la red de un centro y moverse lateralmente de un sistema a otro, hasta obtener acceso a los recursos críticos. Una vez conseguido el acceso, los recursos se cifran y se exige el pago de un rescate para liberarlos. Otra de las principales amenazas para los sistemas sanitarios es contar con aplicaciones en la nube poco seguras. Y es que, debido a la necesidad de dar acceso en remoto a los trabajadores, la migración de datos sanitarios de pacientes a entornos híbridos y multicloud los convierte en un objetivo muy atractivo. En este mismo sentido, con el aumento del número de trabajadores sanitarios a distancia, también se han incrementado los ataques a través de conexiones remotas poco seguras. Y en este contexto, la mayoría de los ataques se producen por cuentas de usuarios y sesiones remotas que no están suficientemente protegidas.

Otro problema que se ha agravado en los últimos años es el uso de los llamados bots maliciosos, esto es, de redes de bots que se utilizan expresamente para escanear sitios web de la sanidad en busca de vulnerabilidades e iniciar patrones de ataque. Las rutinas de daño más habituales incluyen la recopilación de datos de sitios web, el envío de spam a través de los equipos infectados o la instalación de puertas traseras en los sistemas para obtener después acceso a la red. De hecho, según estimaciones de los expertos, el tráfico de bots maliciosos se ha cuadriplicado de 2020 a 2021.

Medidas que pueden evitar un ciberataque 

Debido a que los ciberataques se centran en las identidades humanas y de máquinas con privilegios, una de las prioridades de los departamentos de seguridad de las organizaciones sanitarias debe ser la integración de soluciones de gestión de acceso privilegiado para poder gestionar eficazmente las contraseñas de una organización, para mejorar la seguridad y la facilidad de uso. De este modo, se pueden detener muchos ataques de ransomware antes de que causen daños. Y para poder aplicar una solución adecuada que garantice la seguridad y proteja a los centros sanitarios, conviene tener en cuenta varios aspectos:

1. Revisar las cuentas con privilegios en la organización: desde las cuentas de DevOps hasta los usuarios de negocio con privilegios y las cuentas de máquina con amplios permisos.
2. Otorgar permisos según el principio de mínimo privilegio. Esto significa que los usuarios autenticados solo deben obtener los permisos mínimos que necesitan para realizar sus tareas. De esta forma, se limitan los posibles daños en caso de que un atacante se haga con el control de una cuenta.
3. Implementar una autenticación multifactor sólida. Esto es especialmente importante para proteger recursos de nivel 0 ó 1, ya que no solo requieren una MFA fuerte, sino que también conviene ejecutarlos en un entorno aislado.
4. Guardar siempre en repositorio seguro las credenciales de acceso de las cuentas con privilegios y los pares de claves SSH para evitar que caigan en manos equivocadas.
5. Nunca conceder derechos privilegiados de forma indefinida. Se debe otorgar acceso solo cuando es necesario a los usuarios con privilegios durante un periodo de tiempo predefinido.
6. ​​Aplicar un modelo de confianza cero para todos los usuarios, no sólo para los teletrabajadores y proveedores de servicio externos. La práctica recomendada es bloquear primero todos los tipos de acceso para todos los usuarios (Zero Trust) y luego definir los permisos para cada usuario autorizado. Esto proporciona una protección óptima de los datos sensibles.
7. Fomentar una conciencia de seguridad. Se ha demostrado la eficacia de ofrecer regularmente a los empleados de todos los niveles jerárquicos formación en ciberseguridad y enseñarles las prácticas más adecuadas.

Aplicando estas medidas de seguridad preventivas con las soluciones de ciberseguridad adecuadas se consigue, por un lado, prevenir ataques e incluso frenarlos antes de que sucedan y, por otro lado, una vez que ya ha sucedido, tener una rápida capacidad de respuesta ante el incidente, de forma que la situación pueda ser controlada lo antes posible. Pero para conseguirlo es indispensable equiparar las inversiones en nuevas tecnologías, en aplicaciones o migraciones con la inversión en ciberseguridad. Porque la ciberseguridad, al igual que la salud, no es un privilegio sino una necesidad.

 Roger Gallego, Territory Sales Manager de Delinea

by