/

Ciberseguridad

El mundo de la salud enfranta a los ciberataques

El sector de la salud ha sido objeto de múltiples ataques en los últimos tiempos. Esta vulnerabilidad se debe a una modernización sin precedentes. Esta aceleración debe tener en cuenta la integración de la tecnología digital, los objetos conectados, la llegada del 5G, la robótica, etc. Sin embargo, la mayoría de las veces esta integración se ha hecho de forma precipitada, sin ningún enfoque de seguridad. Los ciberdelincuentes han visto en esto una vía real para conseguir datos valiosos : información médica, números de la seguridad social, direcciones, historial médico de pacientes y profesionales de la salud…

El sector sanitario ha sido hasta ahora el pariente pobre del mundo digital, pero ahora está en plena transformación digital. La digitalización del trayecto del paciente y la pandemia no han ayudado a que esta transformación vaya sobre ruedas, y los ciberdelincuentes han aprovechado la urgencia de la situación para atacarse a esta presa fácil.

Veamos los retos y las amenazas a las que se enfrenta el sector.

Salud y ciberataques : ¿Cuáles son las prioridades?

Desde 2021, cada semana un establecimiento sanitario ha sido víctima de un ciberataque

Olivier Véran – Ministro de Sanidad francés

¿Por qué el sector sanitario es objeto de ciberataques? La fragilidad de los sistemas informáticos del sector, la reducción de los presupuestos, la falta de concienciación y la falta de tiempo pueden explicar este creciente mercado delictivo.

Prioridad presupuestaria

Los últimos movimientos sociales y la pandemia han puesto de manifiesto la evidente falta de financiación en el sector sanitario. Los presupuestos asignados en general, y para la ciberseguridad en particular, siguen siendo insuficientes.

Un ciberataque sólo podría empeorar la situación, ya compleja, de algunos hospitales. Estas instituciones no pueden quedarse quietas, cada segundo puede ser vital para un paciente. Los ciberdelincuentes son conscientes de esta criticidad y saben que esto supondrá una presión adicional para que los hospitales paguen el rescate.

Además, cada hospital gestiona su ciberseguridad de forma diferente de una estructura a otra. Los medios difieren, al igual que las políticas de seguridad aplicadas. Hay una necesidad real de armonización. El Gobierno francès pretende ayudar, liberando un presupuesto de 2.000 millones de euros para tecnología digital, con el fin de compensar el déficit. El eje principal es «el apoyo a la adopción de la ciberseguridad por parte de las pequeñas y medianas estructuras, incluidos los hospitales y las autoridades locales, reforzando la formación y duplicando el número de puestos de trabajo en el sector para 2025» (E. MACRON).

A este déficit se suma la ausencia o insuficiencia de un presupuesto dedicado a los recursos humanos y, en particular, a las funciones denominadas «de apoyo». Sin embargo, es importante contar con perfiles expertos dedicados al negocio de la ciberseguridad. Pero el talento es caro, y la escasez de estos perfiles no ayuda.

Necesidad de acelerar la capacitación

Los ciberatacantes tienen como objetivo el defecto humano por encima de todo y el sector sanitario no es una excepción. Según una encuesta de nuestro socio Proofpoint[1] «el 58% de los CISOs consideran que el factor humano es su mayor ciber vulnerabilidad». El sector sanitario es uno de los más expuestos y sin embargo sus actores, que son los guardianes de los datos, son a veces los menos capacitados.

Los llamados VAP, Very Attacked People (personas muy atacadas), que son objeto de este sector son: ex alumnos, profesores de hospitales universitarios, departamentos financieros de aseguradoras médicas, personal clínico, gerentes y directores. Es importante que este grupo objetivo comprenda el papel que debe desempeñar en la protección de datos, y para ello es necesario sensibilizarlo, lo que veremos más adelante.

Necesidad de tiempo

No cabe duda de que la urgencia es una constante en este sector. La crisis del Covid puso de manifiesto este estado de urgencia, el trabajo bajo presión, la falta de tiempo. El personal debe reaccionar rápido y bien. Sin embargo, en una situación de emergencia, los seres humanos no tienen la capacidad de tomar las decisiones correctas, y aquí también los ciberdelincuentes lo saben y el personal médico será la víctima.

Se necesita una transformacion technológica

Los servicios de salud están experimentando una transformación tecnológica. La tecnología es sinónima de seguridad. Sin embargo, la estructura informática de estas organizaciones en su mayoría es obsoleta, no adaptada en términos de normas y seguridad, convirtiéndose así en un Eldorado para las brechas de seguridad y los delincuentes que se aprovechan de ellas.

En cuanto al IoT, «las bombas intravenosas representan el 38% de la huella del IoT de un hospital y (…) el 73% de estas bombas tienen al menos una vulnerabilidad». La actualización de los dispositivos es crucial y todos ellos deben estar en una red aislada. De hecho, según un estudio realizado por Cynerio[2] , el 53% de los IoT presentan riesgos de ciberseguridad, ya que funcionan con versiones anticuadas de Windows o Linux que no han sido actualizadas. Estos dispositivos médicos conectados necesitan más atención. Evidentemente, está la cuestión de qué pasaría si mañana un robot quirúrgico estuviera bajo el control de un atacante.

La ampliación de la superficie de ataque también desempeña un papel importante en la multiplicación de los riesgos. Acabamos de ver el impacto de las IoT, pero los servicios relacionados con la salud también se han multiplicado: el desarrollo de la telesalud, la telemedicina, la monitorización médica a distancia, las plataformas de programación de citas o los chatbots… y no hay que olvidar los servicios de terceros.

La complejidad de la cadena de suministro en este sector crea nuevas oportunidades para los ciberdelincuentes que buscan vulnerabilidades. Efectivamente, las organizaciones externas, las empresas de análisis médicos, las organizaciones sociales, los servicios de facturación y de seguros, todo este ecosistema está vinculado y crea un mayor ámbito de ataque. Toda la cadena debe estar asegurada de extremo a extremo y esto es un verdadero reto.

La complejidad de la infraestructura también desempeña un papel, de hecho en ciertos programas informáticos específicos del sector sanitario, los editores piden que no se aplique el antivirus, o que se desactive para que puedan garantizar su mantenimiento, y este comportamiento tan arriesgado favorece desgraciadamente los ataques.

Por último, la dificultad de identificar todos los equipos conectados añade una dificultad adicional de la que TEHTRIS es muy consciente. Por eso, nuestras soluciones aportan una nueva visibilidad a los CISO y permiten reducir la superficie de exposición.

La acumulación de estas deficiencias, sumada a todas estas nuevas tecnologías y entornos, hace que las infraestructuras informáticas sean más complejas y debiliten la seguridad de este sector.

¿Cuáles son las amenazas?

El phishing

  son muy frecuentes, sobre todo en el sector de la salud, y la pandemia no ha mejorado la situación. En mayo de 2020, los investigadores de seguridad detectaron «más de 300 campañas publicadas en línea relacionadas con el COVID-19»[3] . El objetivo es perturbar el funcionamiento de las instituciones y robar datos. Los ciberdelincuentes se están adaptando a la actualidad. Por ejemplo, se han imitado muchos sitios web de organizaciones sanitarias, como organizaciones no gubernamentales (ONG), la Organización Mundial de la Salud (OMS), el Servicio de Impuestos Internos (IRS), los Centros de Control de Enfermedades (CDC), etc.

Example of Phishing with a fraudulent email impersonating the British government
Ejemplo de Phishing con un correo electrónico fraudulento haciéndose pasar por el gobierno del Reino Unido
Example of Phishing with an email impersonating the World Health Organization
Ejemplo de phishing con un correo electrónico que suplanta a la Organización Mundial de la Salud

Estos ataques son extremadamente efectivos, especialmente en este contexto de emergencia, donde la manipulación es fácil. Estos ataques mediante ingeniería social tienen como objetivo engañar a los usuarios (enfermeras, médicos, terceros de confianza, etc.) que cada vez tienen más prisa, menos atención, para obtener información, dinero o acceso a la SI.

El CHU de Montpellier fue víctima de phishing en marzo de 2019. En total más de 649 ordenadores fueron afectados, afortunadamente la red wifi no fue infectada y permitió al personal médico continuar con los procedimientos médicos.

El tipo de ataque DNS (Sistema de Nombres de Dominio), como el phishing, es el más común en este sector. TEHTRIS, nuestro DNS FW, es una solución de seguridad que recoge las solicitudes de resolución de DNS y las analiza para eliminar o redirigir las solicitudes relacionadas con dominios sospechosos o maliciosos.

Le protege de las amenazas externas e internas.

Ransomware

Algunas cifras sobre el ransomware y su relación con el sector sanitario

Una de las amenazas más comunes para las organizaciones sanitarias, como los hospitales, es el ransomware.

En caso de ataque, todos los sistemas vitales se ven comprometidos: desde el SI, hasta el sistema de comunicación, pero también el hardware, como escáneres, resonancias magnéticas, bombas de infusión, etc. Todo el sistema se paraliza en cuestión de segundos y la vida de los pacientes está en juego. Es el caso de Alemania, por ejemplo, donde un paciente murió en septiembre de 2020 después de que un ataque de ransomware impidiera una operación de urgencia.

Todos recordamos el ataque de Wannacry que golpeó duramente al sistema de salud pública británico. Francia también es víctima, ya que los hospitales de Villefranche-sur-Saône y Dax han vivido desgraciadamente esta situación, quedando paralizados por un ciberataque en febrero de 2021. El hospital de Saint-Gaudens ha tenido que cerrar sus servicios informáticos en abril de 2021 tras un ataque de ransomware; la lista de víctimas es larga y los ejemplos abundan.

Los hospitales no son las únicas víctimas, también lo son los pacientes, como demuestra un caso en Finlandia. En octubre de 2020, la empresa Vastaamo, que gestiona 25 centros de psicoterapia, fue víctima de robos de expedientes de pacientes que fueron publicados, en un contexto de chantaje. Los pacientes habían recibido correos electrónicos en los que se les exigía 200 euros en bitcoin para evitar la publicación de los datos.

Robo de datos

La debilidad de las infraestructuras del SI explica el aumento de los ataques, pero no hay que olvidar otro factor de interés para los delincuentes: la riqueza de los datos. Los hospitales gestionan información de interés para los atacantes. Tienen en su poder información sensible, como datos personales, números de la seguridad social, información sobre propiedad intelectual, documentos de investigación, identificadores de conexión, etc. Los ciberdelincuentes se aficionan a estos datos, que alimentan el espionaje industrial y pueden revenderlos a las compañías de seguros en el mercado de la dark web.

Un expediente médico puede valer hasta 350 dólares en el mercado negro, 50 veces más que un expediente bancario y 2,5 veces más que el promedio mundial de otros documentos[4]

En marzo de 2020, la Assistance Publique Hôpitaux de Paris (APHP) sufrió un ataque: 1,4 millones de personas que han realizado una prueba de detección del Covid-19 han visto sus datos comprometidos. Estos datos incluían: nombres completos, fecha de nacimiento, sexo, número de la seguridad social, dirección postal, dirección de correo electrónico o número de teléfono, y resultados de las pruebas.

Los ataques DDOS

Los ataques de denegación de servicio son tan devastadores como el ransomware. De hecho, incluso un periodo limitado de inactividad puede ser terriblemente peligroso, especialmente para los departamentos quirúrgicos. Algunos hospitales que han sufrido este tipo de ataques han tenido que trasladar urgentemente a sus pacientes. Este fue el caso del Hospital Universitario de Brno (República Checa) en 2020. El hospital se vio obligado a desconectar toda su red informática durante el incidente.

Los ataques DDOS en este contexto suelen ser selectivos y tienen como objetivo encubrir un segundo ataque. Por lo tanto, es necesario mantenerse alerta. Del mismo modo, si los ordenadores de un proveedor se ven comprometidos, pueden formar parte de una red de bots. De nuevo hay que estar atentos ya que el rendimiento del servicio en la red local se verá ralentizado.

Proteger nuestras infrastructuras de salud con TEHTRIS

El sector de la salud, al igual que los sistemas industriales, necesita soluciones de ciberseguridad específicas. Como hemos visto, la aplicación de parches es compleja en el caso de los dispositivos IoT por varias razones. En primer lugar por el origen del software, que puede ser propietario o de diferentes proveedores, y en segundo lugar por los «imperativos» de producción en los que hay vidas en juego. Detener la producción para parchear no es una opción. La tecnología debe adaptarse a estas redes.

TEHTRIS lo entiende y ofrece soluciones de seguridad adecuadas. De hecho, aseguramos la seguridad de varios hospitales de Europa y de administraciones públicas del sector sanitario. Además, tenemos experiencia en los sectores industrial y de OT desde la fundación de la empresa, por lo que podemos responder a las necesidades de este sector específico.

 La solución TEHTRIS XDR lo hace posible.

  • El EDR es una solución ideal porque esta tecnología puede utilizarse sólo para la detección o para la reparación. La solución puede ser a la carta, configurada según la criticidad de las máquinas, como servidores, ordenadores, impresoras y teléfonos. Proporciona visibilidad sobre todas las posibles amenazas : el ransomware puede remediarse automáticamente, las intrusiones se detectan. Ante una amenaza concreta, podemos reforzar la protección en IoC, …. Además, todos los módulos EDR permiten la gestión a lo largo de la cadena (actualización con el módulo de auditoría, detección de TI en la sombra…).
  • Nuestro SIEM supervisa la actividad operativa y ayuda a identificar cualquier cosa extraña. Nuestras soluciones hiperautomatizadas sin intervención humana son una garantía de eficacia para los equipos que ya están sometidos a estrés. Nuestra oferta proporciona una protección que se adapta a los activos y una remediación basada en el aprendizaje automático; todo eso sin interrumpir el servicio sanitario, la recepción y la atención al pacientes. Es nuestra solución la que se adapta a su infraestructura.
  • TEHTRIS Deceptive Response, nuestro honeypot, detecta la actividad maliciosa en una subred, como un escaneo de la red. Así, si una máquina está infectada, el primer reflejo del atacante es escanear la red y conectarse a su alrededor (con el fin de pivotar para continuar el ataque). Pero gracias al honeypot, los equipos de defensa saben inmediatamente si una máquina ha intentado escanear la red o atacarla. El ataque se puede prevenir inmediatamente.


Contactar nos

[1] Proofpoint, panorama de las amenazas para la sanidad.2020

[2] Cynerio fabrica sistemas IoT para el sector sanitario y ha analizado más de 10 millones de dispositivos médicos

[3] https://www.proofpoint.com/uk/blog/threat-insight/ready-made-covid-19-themed-phishing-templates-copy-government-websites-worldwide

[4] Encuesta de Eurogroup Consulting. Agosto de 2021.