La pandemia y la campaña mundial de vacunación han puesto a las organizaciones sanitarias en el foco de atención. Por desgracia, esto también ha atraído el interés de los ciberdelincuentes. Los ataques contra los hospitales se han multiplicado, sobre todo a través de dos técnicas: phishing y ataques de ransomware.
Según el nuevo Report CI Security, la violación o robo de datos confidenciales creció en un 36% en la segunda mitad de 2020. Los ataques cibernéticos afectaron a 21,3 millones de bases de datos con información sanitaria. Un aumento del 177% en comparación con el mismo período del año anterior. Es el resultado de una estrategia criminal contra los sistemas de información hospitalaria, sanitaria y médica. Pero también laboratorios farmacéuticos y de investigación e innovación, además de instalaciones de rehabilitación.
A través del phishing los criminales intentan robar datos personales valiosos engañando a la víctima. Debido a la dramática situación de 2020, se produjo una lluvia de falsos mensajes institucionales en los correos de millones de usuarios. Les invitaban a hacer clic en los enlaces contenidos para mantenerse actualizados sobre los desarrollos de la pandemia. O para recibir acceso privilegiado a las ayudas de los gobiernos.
La falta de atención por parte del usuario medio maximiza la efectividad de este método de ataque, que aprovecha pequeños detalles que podrían engañar incluso al ojo más atento. Cambiar una sola letra dentro de un enlace permite redirigir a las víctimas a una página totalmente diferente a la original. Una falsa web del ministerio, por ejemplo, donde se pide la inserción de los datos personales.
Ataques de ransomware contra hospitales
El ransomware es el método preferido por los ciberdelincuentes para atacar grandes empresas y organizaciones. Se trata de un virus informático capaz de cifrar todos los datos del sistema infectado y volverlo inutilizable. Los atacantes piden entonces el pago de un rescate en criptomonedas para entregar una clave de descifrado.
Este tipo de ataque puso en jaque hace unas semanas a numerosos hospitales de Nueva Zelanda e Irlanda. También ha pasado en España. En septiembre de 2020, afectó a un hospital en Alemania, y obligó al personal sanitario a rechazar a todos los nuevos ingresos. Hasta se llegó a hablar de una primera víctima por el retraso causado por el parón del sistema, aunque finalmente el fallecimiento resultó ser independiente del ataque. No obstante, en los últimos días se han multiplicado los casos en Italia y Países Bajos.
Ejemplos como este evidencian los peligros de un ataque de ransomware en instalaciones sanitarias. Desde la perspectiva de un ciberdelincuente, los hospitales son objetivos de gran valor, ya que necesitan pagar para restaurar sus sistemas con rapidez. Sin contar que, por su naturaleza, el trabajo sanitario está sujeto a la presión y la urgencia. Algo que no concilia con la necesaria precaución que hay que tener para no caer en las trampas informáticas. Además, por desgracia, las estructuras afectadas suelen pagar el rescate sin denunciar el ataque. De este modo, aunque recuperen la posibilidad de brindar servicios de salud esenciales, no tienen la garantía de que sus datos no hayan sido copiados y vendidos.
Las razones del grave aumento de los ataques informáticos a los hospitales son diferentes. En primer lugar, los datos personales (nombre, apellidos o información fiscal) se utilizan para el robo de identidad. Además, los datos sobre enfermedades pueden explotarse para marketing farmacéutico u otras actividades comerciales relacionadas.
El valor de los datos sanitarios
El ‘Financial Times’ ha desarrollado un algoritmo capaz de calcular el valor de este tipo de información. Por ejemplo, los datos de una mujer embarazada de su primer hijo ‘valen’ 0,102 $ (unos 0,08 €) y los de una persona diabética, 0,267 $ (0,22 €). El valor varía según el aumento de las patologías, la profesión, la edad y el estado civil. Según Kasperky, el valor de la historia clínica de un paciente en la dark web puede llegar hasta a los 25 €.
A esto se suma el aliciente de una débil política de seguridad implementada por los hospitales y otras organizaciones sanitarias. Además, las infraestructuras hospitalarias prevén la subcontratación de algunos servicios clave, como la digitalización de las historias clínicas. Esto ocurre, a menudo, sin llevar a cabo una verificación previa de la capacidad de los proveedores para brindar «garantías suficientes para implementar las medidas técnicas y organizativas adecuadas». Como está requerido por la ley, po rejemplo, en el reglamento de la Unión Europea 2016/679.
Esto provoca que muchas veces sean las empresas que prestan servicios subcontratados el eslabón débil en materia de seguridad. Desde 2005, más de 300 millones de registros médicos se han visto comprometidos. Dado que un porcentaje muy alto de estos ataques es facilitado por el comportamiento humano, cada instalación debería implementar planes adecuados de capacitación del personal. Además, la adopción de un plan de continuidad no es solo una acción de sentido común, sino una obligación establecida por el Reglamento de Protección de Datos Personales (RGPD), en vigor desde 2018.
La ciberseguridad es un proceso empresarial, y también cultural, que ya no se puede descuidar. La pandemia ha producido un mayor uso de los servicios digitales y de la telemedicina. Esto conlleva también una mayor exposición al riesgo de ciberataques al que hay que hacer frente con más responsabilidad individual y colectiva.
En Nobbot | Los «hackers» buenos se distinguen de los malos por el color de su sombrero
Imágenes | camilo jimenez/Unsplash, Arget/Unsplash, Martha Dominguez de Gouveia/Unsplash