Según el estudio ENISA: TL2023, con datos de junio 2022 a julio 2023, el sector salud es uno de los más afectados, registrando el 8% de los incidentes de ciberseguridad por detrás de administración públicas (19%), pero por delante del resto de sectores como banca (6%), transporte (6%) o energía (4%).

Características del sector

Los ciberdelincuentes se están centrando en este sector, ya que les proporciona un beneficio económico importante debido a 4 particularidades concretas:

•  Alta criticidad de los servicios, principalmente los asistenciales. Cualquier parada de servicio, aunque sea temporal o momentánea, puede suponer un fuerte prejuicio en la asistencia a pacientes, incluso con consecuencias vitales. Esto crea una fuerte alarma social y daño reputacional por lo que los responsables sanitarios están potencialmente dispuestos a ceder a posibles chantajes y pagar por recuperar “la normalidad”.
• Alto valor de los datos que gestionan. Los datos de salud tienen un alto valor en el mercado negro. El precio de una historia clínica puede variar de 30$ hasta los 1.000$ en casos específicos, mientras que comparativamente el valor de una tarjeta de crédito ronda entre 1 y 6$ de media (fuente Kaspersky).
• Heterogeneidad e hiperconectividad de sistemas y dispositivos. La transformación digital en el sector salud, favorecida por aumentos de inversión motivados por la situación vivida durante la pandemia. Así como aparición de fondos europeos de financiación a este sector, han permitido incorporar gran cantidad de tecnología que ayuda en el diagnóstico, tratamiento y seguimiento de los pacientes, haciendo la vida más fácil a los profesionales de la salud. Se han incorporado nuevos dispositivos en infraestructuras asistenciales. También se cuenta con dispositivos que se lleva el paciente a casa y permite al profesional realizar un seguimiento de su evolución. Nuevos sistemas, a su vez, conviven con sistemas más antiguos, incluso legados, aumentando así la gestión de su operación y mantenimiento.
• Aumento del volumen y flujos de datos entre sistemas. No solo se ha incrementado el volumen y la heterogeneidad de datos que se generan, transmiten y procesan, sino que se interconectan entre sí, dentro y fuera de la propia organización. Toda esta complejidad requiere de mucho más esfuerzo para mantener actualizada y segura toda la infraestructura tecnológica y su información de forma constante, ampliando el perímetro de ataque para los cibercriminales.

Principales amenazas del sector

En base a este estudio, se identifica que los vectores de ataque o puertas de entrada más frecuentes en el sector de la salud son:

• Mala configuración de seguridad (68%).
• Insiders / errores humanos en la operación (16%).
• Ingeniería social / phishing (4%) como vector de entrada para intrusión y robo de datos.
• Siendo también relevantes ataques en la cadena de suministro, motivadas por vulnerabilidades no parcheadas de software o hardware, así como la descarga e instalación de malware o programas maliciosos dentro de la infraestructura tecnológica.

En cuanto a los tipos de ataque más frecuentes en el sector sanitario se encuentran:

• El ransomware con un 54% de los incidentes registrados, siendo además el tipo de ataque de mayor impacto. Además, en el 43% de los casos, además de la disrupción de los servicios, implica robo de datos.
  • Las familias de ransomware más utilizadas son: Lockbit, Vice Society y LV group, BackCat/ALPHV.
• Robo de datos presente en un 46%.
• Ataques de intrusión en un 13% de los incidentes registrados.

En cuanto a la motivación de los ciberdelincuentes:

• Ciberdelincuencia organizada (60%) y con una motivación económica (83%) de los incidentes registrados.

En cuanto a la tipología de víctimas de los ataques:

• Centros asistenciales (53%), y específicamente hospitales (42%).
• Autoridades públicas de salud (14%).
• Industria farmacéutica (9%).
• Atención primaria (4,5%).

Por último, en relación al objetivo o tipos de activos víctima de los ataques:

• Sobresalen los datos médicos del paciente, incluyendo historias clínicas electrónicas, resultados de laboratorio, así como datos demográficos y administrativos en un 30% que permiten a los ciberdelincuentes realizar suplantación, fraude o extorsión al centro o al paciente.
• Datos de infraestructura TIC en un 28%.
• Datos corporativos con un 15% de los incidentes registrados.

Recomendaciones de ciberseguridad

Para aquellas entidades que cuentan ya con una estrategia de ciberseguridad implantada basada en un enfoque de análisis de riesgos, la recomendación pasa en primer lugar por acomodar la creciente adopción de tecnología médica y flujo de datos sanitarios de acuerdo a dicha estrategia y al apetito de riesgo que marque la organización. Eso supone que los equipos médicos trabajen de forma conjunta con los equipos de TI y seguridad a la hora de planificar el despliegue de nuevos equipos, dispositivos, plataformas y aplicaciones para que su instalación y conexión se realice de forma segura, contemplando controles y contramedidas organizativos y técnicos para preservar la seguridad de infraestructura e información.

Para acometer esta misión, se debe contar con la inversión necesaria en medios y recursos. Hay que encontrar un equilibrio entre medios propios y contratados a través de la industria de ciberseguridad para equilibrar la inversión, toma de decisiones, configuración, gestión, operación y capacidades en materia de ciberseguridad, y todo ello proporcional a los activos a proteger.

Afortunadamente, la industria de ciberseguridad en España cuenta con empresas (como pone de manifiesto el ‘Catálogo de empresas y soluciones de ciberseguridad’ de INCIBE) que cubren toda la cadena de valor, desde la consultoría inicial, hasta los servicios y productos de última milla para proveer de las contramedidas específicas necesarias a cada activo de información. Por otro lado, cuenta con enfoques de despliegue que van desde personal y equipamientos in-situ, hasta servicios completos remotos y en la nube.