Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Actualidad

Ciberseguridad en el sector salud: radiografía y cómo protegerse

26 Jun 2024

La ciberseguridad en el sector salud se alza como uno de los frentes de batalla más importantes en el panorama digital de este momento. 

Las recientes mejoras en las tecnologías de la comunicación y la informática han aumentado considerablemente la eficacia de los sistemas sanitarios. Los nuevos dispositivos médicos pueden supervisar y controlar automáticamente el estado y las condiciones del paciente sin intervención manual, lo que mejora los procesos de tratamiento, flexibiliza los sistemas sanitarios y permite un mejor uso de los recursos. Sin embargo, este aumento de las capacidades de comunicación y la fiabilidad del software también implica mayores necesidades de seguridad. A medida que la digitalización en el sector ha traído consigo numerosos beneficios, también ha incrementado la exposición a ciberataques. De este modo, en muy poco tiempo, el sector salud se ha convertido en uno de los objetivos más atractivos para los ciberdelincuentes.

El sector salud es objetivo de los ciberataques principalmente porque posee información sensible sobre los pacientes, como datos financieros, datos de identificación e historiales médicos. Sin embargo, las consecuencias de estos ataques pueden ir más allá del robo de datos y las pérdidas económicas: un ataque sobre estas infraestructuras podría poner en peligro las operaciones sanitarias. De ahí que las consecuencias potenciales de estos ataques sean graves: interrupciones operativas, daños a la reputación del hospital, multas por infracciones contra la normativa -como la Health Insurance Portability and Accountability Act (HIPAA) en Estados Unidos o el Reglamento General de Protección de Datos (GDPR) en la Unión Europea- o situaciones aún peores, como daños a los pacientes. Este tipo de incidentes ya han causado graves consecuencias en algunos casos conocidos: 

  • Hospital Universitario de Düsseldorf, septiembre de 2020. Fallo de los sistemas causado por un ciberataque. El tratamiento a un paciente grave se vio retrasado una hora, lo que finalmente imposibilitó salvar su vida.

  • Ciberataque al servicio de salud Irlandés (HSE Ireland), mayo 2021. Uno de los mayores ataques contra un sistema informático sanitario. Este ataque de Ransomware causó la parada total de los sistemas IT. Una elevada cantidad de citas médicas tuvieron que ser canceladas, pudiendo proporcionar únicamente servicios mínimos.

  • Hospital Clinic de Barcelona, marzo 2023. Un ataque de Ransomware dejó paralizado este hospital durante más de una semana, permitiendo únicamente operaciones de emergencia y servicios mínimos.

En este contexto, analizamos el estado actual del panorama de ciberseguridad en el sector salud y las medidas clave para protegerse.

Para ello, debemos comprender que el entorno hospitalario se caracteriza por la integración de diversas tecnologías. Además de las Tecnologías de la Información (IT), se pueden identificar en tres componentes fundamentales: redes sanitarias, sistemas de gestión de edificios (BMS) y dispositivos médicos. Estas organizaciones sanitarias contienen una media de 20.000 dispositivos, incluyendo comunicaciones en sus redes médicas de dispositivos IT, IoMT, OT e IoT.

Aumento de los ciberataques en el sector salud

El sector salud ha experimentado un notable incremento de los ciberataques, presumiblemente por la falta de madurez en ciberseguridad, y la alta rentabilidad obtenida por los atacantes. Algunas cifras del informe elaborado por ENISA sobre la ciberseguridad en el sector salud en Europapermiten desgranar más detalles sobre la situación actual:

  • Se calcula que un 7% del total de los incidentes de ciberseguridad afectan a organizaciones del sector salud.

  • Durante 12 años consecutivos, la industria de la salud ha tenido el coste medio más elevado vinculado a brechas de seguridad.

A estas cifras es preciso añadir algunas notas sobre la prevalencia actual del ransomware, ya que se trata de una de las principales amenazas de ciberseguridad en el sector salud.

En este sentido, atendiendo a nuestro informe ‘Panorama del Ransomware 2024’, España es el séptimo país del mundo más afectado por este tipo de ciberamenaza (por detrás solo de EEUU, seguida de Canadá, Reino Unido, Alemania, Francia e Italia). Por su parte, los países más afectados por ransomware en el contexto LATAM son, en primer lugar Brasil, seguido de México, Argentina y Colombia.

El informe también destaca los diez sectores más afectados por ransomware, estando el sector salud en tercer lugar solo por detrás de las industrias manufactureras y los servicios de atención al cliente.

¿Por qué el sector salud es un objetivo clave para los ciberdelincuentes?

En pocas palabras, el sector salud conjuga una serie de factores que lo hacen particularmente atractivo para los ciberataques:

  • Presenta datos sensibles de alto valor, con información personal, médica y financiera que puede ser utilizada en una amplia gama de fines ilícitos: desde su monetización (a través del pago de un rescate en el caso de los ataques de ransomware), a su venta en el mercado negro, o la ejecución de fraudes de identidad o de seguros, además de la solicitud de medicamentos o tratamientos fraudulenta.

En este sentido, según el informe de ENISA mencionado anteriormente, las amenazas vinculadas a las brechas de datos y ransomware son las más significativas en el panorama de ciberseguridad en salud.

Los atacantes buscan obtener grandes cantidades de datos en un único ataque con el que poder maximizar el beneficio. Datos de Kaspersky estiman que el precio de una historia clínica en la dark web puede estar entre 30$ y 1.000$ (mientras que el valor de una tarjeta de crédito está entre 1 y 6$).

  • Las organizaciones sanitarias requieren una operación continua, donde la prioridad recae en la disponibilidad y seguridad del paciente. La interrupción de los servicios de salud debido a un ciberataque tiene un impacto crítico: además de alarma social y daños reputacionales, puede llegar a poner en riesgo vidas. Esto es especialmente cierto para los hospitales y, más específicamente, para los servicios de emergencias. Este foco en la disponibilidad dificulta a su vez las acciones y mantenimiento de las tecnologías de la información, convirtiendo acciones normalmente rutinarias, como la implementación de un parche de seguridad, en actividades delicadas y que requieren una elevada planificación.

  • La integración de diversas tecnologías con una alta interconectividad y heterogeneidad abre la puerta a multitud de vulnerabilidades potenciales y una cantidad elevada de vectores de entrada. Sistemas antiguos y obsoletos conviven y se comunican con nuevas tecnologías, generando un entorno digital complejo y de difícil integración, para el que son necesarias medidas de ciberseguridad específicas y robustas.

  • La falta de concienciación, recursos o conocimientos en ciberseguridad en el sector puede actuar como incentivo para los ciberdelincuentes, convirtiendo el sector salud en un objetivo fácil para los atacantes, en el que muchas de las medidas de seguridad básicas no están implementadas. En este aspecto, el informe de ENISA desvela un panorama preocupante: solo un 27% de las organizaciones han puesto en marcha un programa de defensa contra el ransomware; el 40% no tiene políticas de concienciación en ciberseguridad más allá del equipo de IT; y el 46% de las organizaciones nunca han llevado a cabo un análisis de riesgos.

Riesgos y consecuencias de los ciberataques

Los principales riesgos a los que se enfrenta una infraestructura sanitaria al sufrir un ciberataque incluyen el cierre de los servicios de emergencias, la necesidad de retomar el registro en papel de los pacientes, la cancelación de citas e intervenciones médicas y, como consecuencia, el riesgo de poner en peligro la vida de los pacientes. Algunas de estas repercusiones se dieron lugar en los incidentes del Hospital Universitario de Düsseldorf (Alemania) o en el Hospital Clínic de Barcelona, entre otros.  

Además de estos riesgos que afectan directamente a la salud de los pacientes, las violaciones de datos en el sector presentan una amenaza directa en las siguientes áreas:

Consecuencias de los ciberataques al sector salud

  • Exposición de información personal, como datos de identificación, historiales médicos o datos financieros.

  • Riesgo de fraude y robo de identidad. Cuando ocurren ciberataques a infraestructuras sanitarias, aumentan las campañas de phishing a los pacientes.

  • Amenazas a la privacidad y seguridad de los pacientes.

  • Pérdida de confianza y reputación para las instituciones de salud.

  • Alto impacto financiero. Cifras de IBM sitúan el coste medio de este tipo de ataques en el sector salud global en los 10,93 millones de dólares, muy por encima de los 4.45 millones en que se estima el coste medio general para todos los sectores.

  • Las instituciones se enfrentan no solo a multas y sanciones de las autoridades, sino a al incumplir las normativas de protección de datos como la RGPD en Europa. En varias ocasiones se han registrado demandas colectivas de los pacientes a los centros afectados, denunciando la falta de protección de sus datos. 

Radiografía de los ciberataques al sector salud

El informe de ENISA citado más arriba nos sirve para analizar algunos datos importantes de la ciberseguridad en el sector salud a día de hoy:

Principales afectados

El informe revela que los proveedores de atención médica concentran el 53% del total de incidentes (siendo especialmente afectados los hospitales, que acumulan un 42% de este porcentaje); el informe también destaca los ataques a autoridades médicas y agencias (14%) y la industria farmacéutica (9%).

Tipos de ataques

El 54% de los ataques de ciberseguridad en salud son ataques de ransomware. Dentro de estos, el 43% incluyeron el robo de datos o brechas de datos y, en cualquier caso, el 46% de los incidentes tuvieron como objetivo el acceso a los datos de salud. 

Igualmente, el informe pone el foco en el auge de los ataques Denial-of-Service (DoS) como otra de las amenazas crecientes para la ciberseguridad en hospitales y otros actores del sector salud.

Vectores de ataque

El informe cita como puertas de entrada más frecuentes en 2021 las siguientes:

  • Configuraciones de seguridad incorrectas (68%).

  • Errores humanos (16%)

  • Acciones maliciosas (16%)

Estos vectores de ataque se ven favorecidos por la presencia generalizada de vulnerabilidades, el uso de sistemas operativos sin soporte y la configuración insegura de los dispositivos. Adicionalmente, se debe tener en cuenta que estos vectores de entrada no afectan únicamente a los sistemas IT, si no también a dispositivos médicos, sistemas de gestión de edificios (BMS) y tecnologías IoT y sus variantes (IoMT e IioT), que suelen ser implementadas y mantenidas sin las medidas de ciberseguridad necesarias.

Cifras sobre el impacto de los ciberataques

En relación con el impacto de los ciberataques sobre el sector salud, el informe de ENISA recopila los siguientes datos:

Gráfico del impacto de los ciberataques en el sector salud

  • El 43% de los incidentes logró el robo de datos.

  • El 22% causó la interrupción de servicios de salud y el 26% la interrupción de otros servicios no relacionados con los servicios de salud.

  • Respecto al impacto financiero, el informe de ENISA se basa en su estudio NIS Investment de 2022 para valorar el impacto financiero medio en 300.000 euros para los incidentes de ciberseguridad en el sector salud. A esta cifra es preciso añadir el daño reputacional, difícilmente cuantificable, que aparece tras un ataque de este tipo.

Medidas clave de ciberseguridad en el sector salud

Implementación de políticas y medidas de seguridad robustas

Desarrollo de un marco coherente y estandarizado de medidas de ciberseguridad, que incluya los siguientes puntos clave, entre otros:

  • Cifrado de datos en tránsito y en reposo.

  • Autenticación multifactor para acceder a sistemas críticos.

  • Monitorización continua de redes y sistemas mediante sistemas de detección y prevención de intrusiones (IDPS).

  • Sistema de respuesta ante incidentes o alertas.

  • Alineación con las normativas y estándares de privacidad. Esto a menudo implica un proceso de actualización constante, teniendo en cuenta la introducción de nuevas normativas o la modificación de las ya aprobadas.

  • Implementación de normativas y regulaciones, como el Esquema Nacional de Seguridad en España.

  • Auditorías de ciberseguridad recurrentes, teniendo en cuenta las diferentes tecnologías implicadas en el sector salud, en vistas a detectar posibles errores a corregir de forma proactiva.

  • Implementación de tecnologías clave como firewalls y revisión de las reglas implementadas. 

  • Planificación y desarrollo de copias de seguridad.

  • Establecimiento de políticas de Control de Acceso eficientes, basadas en el principio de mínimos privilegios y la Gestión de Identidades y Accesos (IAM).

  • Puesta en marcha de políticas para implementar actualizaciones y parches de seguridad, mitigando las vulnerabilidades conocidas, siempre que sea posible.

  • Segmentación de las redes y redundancia en los diferentes centros dependientes. Además, generar redes aisladas para los dispositivos más críticos que no puedan ser actualizados.

Igualmente, y de forma adicional a estas medidas, resulta imprescindible la colaboración entre los departamentos de IT, OT, seguridad y los médicos, a la hora de poner en marcha nuevos equipos. Solo de esta forma se garantiza que la adopción de nuevas tecnologías y sistemas no se desarrolle a costa de la ciberseguridad en la organización. Así, se deberán instalar los controles y contramedidas adecuados en cualquier proceso de nueva adopción tecnológica.

Formación y concienciación del personal

Resulta imprescindible la formación continua sobre prácticas seguras de manejo de información no solo para los equipos técnicos sino también para médicos y personal administrativo. Esto incluye la importancia sobre la toma de conciencia sobre ataques como el phishing y otras tácticas de ingeniería social, además de las buenas prácticas a la hora de compartir información o navegar por internet.

Además de la realización de formaciones o cursos recurrentes, puede resultar útil la implementación de simulacros de incidentes de seguridad de forma regular, preparando al personal para reaccionar ante escenarios a los que podrían enfrentarse.

En cualquier caso, el objetivo final es el desarrollo de una verdadera cultura de la ciberseguridad en la que todos los implicados en la organización conozcan cuál es su papel en la ciberseguridad del sector sanitario y cómo mantenerla. 

En esta área, resulta especialmente importante que la alta gerencia se involucre en este proceso, fomentando la formación y la ciberseguridad. Desde su posición de influencia, la concienciación sobre la importancia de la ciberseguridad en salud debe alcanzar a todas las capas de la organización, incluyendo los médicos que trabajan directamente con los dispositivos y la información de los pacientes.

Planificación de respuesta a incidentes

El desarrollo de un plan de respuesta a incidentes bien definido y probado regularmente puede marcar la diferencia en un contexto en el que la cuestión no es tanto “si” se va a producir un incidente, sino “cuándo” va a ocurrir. Así, se trata de adoptar un enfoque preventivo en el que se actúe al unísono para minimizar daños a través de medidas de contención robustas.

Asegurar una reacción rápida y eficaz ante una violación de datos puede recaer en la puesta en marcha de prácticas como:

  • Ejercicios de simulación a través de herramientas como el Red Team y Blue Team.

  • Desarrollo de un equipo de respuesta a incidentes y un plan de respuesta a incidentes.

  • Desarrollo de Playbooks orientados al sector salud y a los sistemas dependientes de la organización.

  • Tener en cuenta no solo las tecnologías IT, sino también los dispositivos médicos y los sistemas OT a la hora de desarrollar las diferentes acciones de ciberseguridad.

  • Puesta en marcha de un plan de continuidad de negocio que, aplicado al sector salud, garantice que las organizaciones pueden continuar ofreciendo los servicios críticos incluso en caso de producirse un incidente de ciberseguridad 

En definitiva, este vistazo a los diferentes aspectos de la ciberseguridad en el sector salud revela que se trata de un desafío multifacético que requiere una estrategia totalmente integral. Todo ello con un objetivo: proteger la vida de los pacientes, a la par que se mantiene segura la información de estos y se salvaguarda la disponibilidad de los sistemas médicos en todo momento.

Son muchos los frentes y desafíos que deben abordarse: desde la complejidad de proteger una amplia variedad de sistemas y dispositivos interconectados, a la necesidad de un estricto cumplimiento normativo.

En este contexto, contar con aliados y expertos en ciberseguridad resulta imprescindible. Es aquí donde entra en juego S2 Grupo. Con dos décadas de experiencia en el sector de la ciberseguridad y habiéndonos convertido en empresa de referencia en Europa y Latinoamérica, trabajamos para convertirnos en los aliados en ciberseguridad que el sector salud necesita. 

Por ello, hemos desarrollado un conjunto específico de servicios de ciberseguridad para el sector salud. Orientados a una amplia variedad de actores (sanidad pública y privada, mutuas, fabricantes de dispositivos y agencias gubernamentales), nuestro catálogo incluye soluciones clave como:

  • SOC sanitario.

  • Informes de recomendaciones y buenas prácticas.

  • Hacking ético de equipamiento sanitario.

  • Evaluaciones de ciberseguridad integrales (IT y OT) especializadas para entornos sanitarios, centrados en sistemas IT, sistemas OT (BMS) y dispositivos médicos.

  • Análisis de sistemas OT y dispositivos médicos, así como la arquitectura de red implementada.

  • Concienciación específica para el entorno de salud.

  • Sonda de monitorización de tráfico para modalidades de imagen médica con análisis DICOM.

  • Consultoría para cumplimiento de estándares de ciberseguridad, como NIST Cybersecurity Framework.

  • Cumplimiento HIPAA y GDPR.

Como parte de nuestras soluciones de ciberseguridad, utilizamos tecnología propia capaz de responder de forma ágil y flexible a los desafíos específicos a los que se enfrenta el sector salud.

Además, nuestra visión de la ciberseguridad en el sector sanitario es una aproximación multidisciplinar: la visión sanitaria, del negocio y la visión de la ciberseguridad. Por esa razón, contamos con un equipo constituido por ingenieros biomédicos, ingenieros industriales e ingenieros informáticos y de telecomunicaciones

¿Quieres saber más sobre cómo trabajamos y nuestras soluciones específicas de ciberseguridad en el sector salud? Ponte en contacto con nosotros y hablemos sobre cómo podemos ayudarte a proteger tu organización frente a las amenazas cibernéticas.

Contacto consultoría S2 Grupo

Artículos relacionados
Ver todas →
Actualidad
La violencia digital se convierte en uno de los grandes problemas en la red
Leer más →
Actualidad
Telemadrid sufre un ciberataque de procedencia aún desconocida
Leer más →
Actualidad
Malware as a Service (MaaS): ciberataque al alcance de cualquiera
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día