Los hospitales son muy vulnerables ante los ciberataques. Por lo sensible de los datos que gestionan, estas organizaciones son propensas a pagar los rescates exigidos por los delincuentes, a fin de mantener sus sistemas en funcionamiento

Para saldar las deudas técnicas, solucionar la falta de personal y reducir la superficie de ataque, el sector sanitario debe actuar rápidamente, con el apoyo de empresas privadas e instituciones públicas

El sistema sanitario se encuentra bajo la lupa de los cibercriminales, como lo demuestran los frecuentes ciberataques dirigidos contra sus organizaciones. A la luz de esta tendencia, Stormshield, líder europeo en el mercado de la ciberseguridad, analiza dicha problemática y ofrece las mejores soluciones para frenar o minimizar sus consecuencias.

Aunque la fragilidad de las instituciones sanitarias se puso de manifiesto con la pandemia de Covid-19, cuando, sobre todo, en los primeros meses de 2020 los hospitales se vieron afectados y paralizados por reiterados ciberataques, esta situación lleva más de una década preocupando a los profesionales. No en vano, y por lo sensible de los datos que gestionan, estas organizaciones son propensas a pagar los rescates exigidos por los delincuentes, a fin de mantener sus sistemas en funcionamiento.

Ante tal escenario, y con el número de ciberataques al alza -también a consecuencia del actual conflicto bélico- empresas privadas y organismos públicos trabajan para revertir o, cuanto menos aliviar, esta carga. Así al apoyo desinteresado de algunas compañías de ciberseguridad a organismos sanitarios, se unen otras iniciativas más enfocadas en aleccionar, como la guía de ENISA con las 10 mejores prácticas que deben aplicar las instituciones sanitarias para hacer frente a las ciberamenazas; u otras destinadas a impulsar y reforzar la ciberseguridad. En España, el gobierno central aprobó a finales del pasado mes de marzo el Plan Nacional de Ciberseguridad, y a nivel regional, comunidades autónomas como Cataluña ya cuentan con su propia Agencia de Ciberseguridad y, otras como Madrid o País Vasco, están en proceso.

¿Es esto suficiente?

A pesar de estos recursos, apoyos e iniciativas, los hospitales siguen siendo vulnerables y la razón principal es porque presentan una superficie de ataque muy extensa.

Así, por ejemplo, con la renovación de los equipos informáticos en los entornos sanitarios, aparece la primera limitación. Mientras que los dispositivos informáticos convencionales se actualizan cada cinco años, los de uso médico pueden alcanzar una vida útil de hasta 15 años, con sistemas operativos para los que, en muchos casos, no existe mantenimiento ni corrección de posibles brechas. A esto se le añade el marcado CE, requisito obligatorio en Europa, y que impone que no pueda hacerse ninguna modificación, como pueda ser la actualización de parches de seguridad.

Para evitar el riesgo de utilizar sistemas operativos sin mantenimiento, las políticas de seguridad informática tienen poder adaptarse. Es transcendental contar con un plan de continuidad de la actividad y un plan de recuperación, pero también es igual de primordial tener flexibilidad.

Al mismo tiempo, los hospitales llevan más de una década haciendo frente a un obligado proceso de transformación digital que si bien ha supuesto un paso de gigante en cuanto a mejoras tecnológicas y de servicios, también ha amplificado y difuminado el perímetro informático. Las instituciones sanitarias además se han visto debilitadas por la democratización de los productos conectados, y a nivel financiero, por la sucesión de convocatorias de proyectos sin presupuestos asociados para mantenerlos. Como resultado, los hospitales se enfrentan a riesgos que ponen en peligro su seguridad, y a una enorme deuda técnica. Por tanto, es necesario enmarcar estos nuevos usos digitales y añadir una capa de seguridad que permita proteger la infraestructura sin generar dicha deuda técnica.

Las personas igualmente representan un factor de vulnerabilidad en los hospitales. Y es que, ante la carencia de personal, los equipos de TI se centran en proporcionar información con rapidez, lo que, a veces, puede significar ignorar las normas de seguridad más básicas y obvias. En este contexto, los equipos de SSI de los hospitales deben concienciar a su personal y recordarles en todo momento las buenas prácticas en cuanto a ciberseguridad.

Los datos, el verdadero objetivo

Sin embargo, la cuestión vital de la seguridad en los centros sanitarios se refiere, por encima de todo, a los datos de los pacientes y a su tratamiento. Según un estudio estadounidense, en marzo de 2022, los datos sanitarios valían 25 veces más que una tarjeta de crédito, por lo que no es de extrañar que los ciberdelincuentes hayan situado a los pacientes en su punto de mira.

Si los datos de salud son una ganancia financiera para los ciberdelincuentes, los datos del universo sanitario pueden ser un objetivo para los poderes del Estado. Así, por ejemplo, durante la crisis sanitaria, ciberdelincuentes vinculados a países que no disponían de medios de investigación y desarrollo de vacunas lanzaron sucesivos ataques contra empresas farmacéuticas a fin de obtener la preciada información. A destacar que dichas acciones más allá de un fin oportunista perseguían un deseo de desestabilización o de espionaje industrial.

A tenor de todas estas amenazas y vectores de ataque, Borja Pérez, Country Manager de Stormshield Iberia, afirma: “Las razones de la vulnerabilidad de las instituciones sanitarias son, pues, complejas. Son herencia de los problemas estructurales del sector e indudablemente no se resolverán en unos meses. Para saldar las deudas técnicas, solucionar la falta de personal y reducir la superficie de ataque, el sector sanitario debe actuar rápidamente, con el apoyo de empresas privadas e instituciones públicas. Aún quedan muchos puntos por resolver en los hospitales para garantizar una verdadera ciberseguridad de estas infraestructuras vitales”.