Las compañías sanitarias son las que más sufren los costes de recuperación ante un ciberataques

El 60% de las empresas sanitarias fueron afectadas por ransomware, lo que las sitúa entre las menos afectadas

Según una encuesta encargada por Barracuda Networks, el 44% de las empresas del sector salud, frente a un 31% de empresas de otros sectores, afirma tener unos costes medios de recuperación ante un ciberataque a la seguridad del e-mail cercano al millón de dólares (975.000 USD).

Los presupuestos del sector healthcare suelen estar sobrecargados, a lo que se suma la utilización de sistemas tecnológicos complejos y críticos; la combinación de recursos limitados o la presión para que todo vuelva a funcionar lo antes posible. Estos factores provocan que los costes de recuperación sean tan elevados. Pese a todo, la pérdida de datos sensibles fue inferior a la media, un 29% frente al 43% general. Al ser uno de los principales objetivos de ciberataques durante tantos años, la sanidad se enfrenta ahora a unas políticas estrictas para compartir, almacenar y realizar copias de seguridad de datos médicos y de otra información sanitaria protegida (PHI).

Este informe elaborado por Barracuda también revela que el 60% de las compañías del sector salud han sufrido un ataque de ransomware, la segunda proporción más baja después del 50% de ciberataques de ransomware recibidos en el sector de servicios al consumidor. De los afectados, más de la mita (59%) pudieron restaurar los datos cifrados utilizando copias de seguridad (frente al 52% que lo consiguió a otros sectores), y sólo el 22% pagó el rescate para recuperar sus datos (frente al 34% de empresas a nivel global que pasó por caja). Sin embargo, el spear phishing ha ganado terreno y se postula como una de las principales amenazas a tener en cuenta para el sector sanitario.

De las empresas de salud encuestadas, sólo el 8% afirmaba estar poco preparada para enfrentarse a un ataque de spear phishing. El 60% de los afectados por este tipo de ciberataques declaró que sus ordenadores u equipos habían sido infectados por virus maliciosos. El mismo porcentaje afirmó haber perdido datos confidenciales o sensibles en dichos ciberataques y un 70% que había sufrido robo de credenciales de inicio de sesión o de cuentas (siendo este porcentaje un 48% en empresas de otros sectores). Asimismo, un 40% afirmó haber sufrido pérdidas monetarias con estos ciberataques.

La media para detectar y solucionar un incidente de seguridad en el e-mail es de 3.5 días

Las empresas sanitarias emplean menos tiempo que otros sectores en detectar un incidente de seguridad en el correo (una media de 29 horas frente a las 43 horas de media del resto de sectores. Sin embargo, sí se sitúan en la media de otros sectores a la hora de responder y solucionar estos incidentes (51 horas de media frente a las 56 del resto). Según los encuestados, los mayores obstáculos a una respuesta y mitigación rápidas fueron la falta de automatización, citada por el 40%, y la falta de presupuesto, citada por el 34%.

Las organizaciones sanitarias deben tener una seguridad del e-mail sólida y férrea, con fuertes controles de autentificación. Lo ideal sería avanzar hacia medidas conocidas como Zero Trust, así como restringir los derechos de acceso, ofrecer una respuesta automatizada entre incidentes, y basar la detección y supervisión de amenazas en IA. Todo ello, acompañado de formación y concienciación continuas para los empleados. Estas defensas del e-mail deben ser parte de la plataforma integrada de seguridad para que proporcione al equipo de tecnología una visibilidad completa de todo el entorno informático, así como la capacidad de detectar, investigar y responder a incidentes de comportamiento anómalo.

El sector healthcare es un objetivo constante de ciberataques

En agosto, Barracuda publicó su quinta revisión anual de incidentes de ransomware reportados en todo el mundo, mostrando cómo los ciberataques se habían duplicado desde 2022. En línea con otros estudios basados en informes de incidencias, este hallazgo se basó en incidentes notificados públicamente. Y, pese a que la sanidad sufre menos incidentes graves que otros sectores, los ataques llegan a los titulares por el riesgo y la sensibilidad de la actividad clínica y los datos de los pacientes.

En marzo, un ataque de ransomware contra el Hospital Clínic de Barcelona paralizó el sistema informático del centro y obligó a cancelar operaciones no urgentes y revisiones de pacientes. Unos meses más tarde, en agosto, un ciberataque contra Prospect Medical Holding ocasionó daños similares en Estados Unidos. Es clave entender y abordar los ciber riesgos a los que se enfrentan las organizaciones sanitarias.

Un buen punto de partida es el peligro que acarrea el correo electrónico, pues sigue siendo un vector de ataque primario y un punto de entrada común para múltiples variedades de ciberataques, con una alta tasa de éxito. El mundo actual, en el que se acelera la transición hacia la sanidad digital y los datos conectados, amplía la superficie de ataque, dejando a las organizaciones sanitarias más expuestas que nunca.

Un reciente estudio internacional reveló que, durante 2022, el 77% de los encuestados del sector sanitario había sufrido una brecha de seguridad en el correo electrónico. Sin embargo, se mostraron optimistas sobre su capacidad de resistencia ante un incidente de ciberseguridad. Si bien tan solo un 10% afirmó haber invertido más en ciberseguridad, el 45% afirmó sentirse “mucho más seguro” que el año pasado en comparación con el 34% del resto de sectores.

Barracuda ha identificado 13 tipos de amenazas al correo electrónico, desde el phishing y los enlaces o archivos maliciosos, hasta sofisticadas técnicas de ingeniería social, como el compromiso del correo electrónico empresarial (BEC), el secuestro de conversaciones y la apropiación de cuentas.