Ciberseguridad en la medicina: ¿Ahora nuestra salud podría estar en las manos de cibercriminales?

-

Por Genaro Delgado </cyberwag> 

Desde hace algunos años, los avances tecnológicos como la inteligencia artificial, el internet de las cosas, la automatización, la sensórica, y la digitalización de procesos en general, han contribuido a la transformación de las prácticas del sector médico. En estos días, ya es mucho más común hablar de un expediente clínico electrónico, implementación de prácticas con telemedicina, el monitoreo de actividad cardiaca y glucosa por parte de un especialista desde cualquier parte del mundo a través de dispositivos puestos en los pacientes y conectados a internet (wearables) Sin embargo, esta hiperconetividad y obicuidad también viene con un gran desafío en el contexto de riesgos digitales y ciberseguridad. 

¿Cuáles son los riesgos y amenazas de una mala gestión de ciberseguridad en el sector médico?

De acuerdo al “Informe de seguridad cibernética intersectorial y de atención médica de la Healthcare Information and Management Systems Society (HIMSS)” reporta que:

Los principales ataques a hospitales tienen como objetivo el robo de identidad médica, robo y comercialización de información clasificada del personal y servicios de la organización, incluso, el robo y comercialización de información de pacientes, impactando tanto la práctica clínica como las operaciones administrativas de toda la organización.  

HIMSS
Fuente: Desconocida

Así mismo, los ciberataques al sector médico no solo han sido dirigidos a los servicios e información de los hospitales y consultorios, sino que también son dirigidos a los propios dispositivos implantados en los pacientes como parte de sus tratamientos y monitoreo. Por ejemplo, el año pasado, los marcapasos de la marca Abbott pidió a 350 mil usuarios que fueran a los hospitales o con sus médicos especialistas quienes colocaron estos dispositivos, ya que necesitaban ser actualizados en su “firmware” de manera urgente por las vulnerabilidades de seguridad detectadas que podrían darle acceso a un cibercriminal y tomar control del dispositivo cambiando las acciones de regulación de frecuencia cardiaca. Algo similar pasa en equipo e instrumentación médica que están conectados a Internet, por ejemplo, equipos de radiología de Bayer, que en el 2017 fueron dispositivos afectados por el ataque masivo de WannaCry, un malware tipo “ransomware” que afectó a millones de dispositivos y sistemas en el mundo, dejándolos inoperables por horas y otros por días, afectando la continuidad de todos los servicios en hospitales y consultorios. 

Fuente: Desconocida

En un contexto de ciberterrorismo, en el segundo semestre de 2020, salieron a la luz dos eventos sobre ciberataques que tenían el objetivo de comprometer la seguridad y confianza en las vacunas. El primero, en noviembre, fue dirigido a AstraZeneca, y en diciembre la propia Agencia Europea del Medicamento (EMA) fue víctima de un ciberataque tres semanas antes de dar el fallo de cúal vacuna, entre Moderna y Pfizer, sería aprobada para aplicarse en la Unión Europea, ambos incidentes tuvieron el objetivo de generar desestabilización social y política, no solo en Europa, sino en todo el mundo.

Lamentablemente los hospitales tanto públicos como privados son ecosistemas vulnerables a ciberataques, ya que en su mayoría ejecutan software desactualizado u obsoleto. En estos ecosistemas, la gestión de riesgos digitales y ciberseguridad no suelen ser ejes prioritarios para los consejos de administración o patronatos, por lo que la asignación de recursos financieros para reparar y actualizar equipos y dispositivos y además formar profesionales en estos rubros, es poca, casi nula, convirtiéndolos en un blanco muy rentable para los cibercriminales. 

El costo de los ciberataques en el sector médico

De acuerdo a un estudio de ciberseguridad en la salud publicado en febrero de este año por el Banco Interamericano de Desarrollo (BID), señala que el costo promedio de un ciberataque en el sector salud en términos de pérdida de negocio, gastos de prevención, detección y recuperación equivale a 7.13 millones de dólares en comparación a los 3.86 millones que, en promedio, cuestan los ciberataques en cualquier otra industria. Además, los datos que maneja el sector son confidenciales y sumamente sensibles. Por lo tanto, el impacto no material puede ser también sumamente grave.

El costo promedio de un ciberataque en el sector salud en términos de pérdida de negocio, gastos de prevención, detección y recuperación equivale a 7.13 millones de dólares

Según datos del Banco Interamericano de Desarrollo 2021

Así mismo, el BID señala que en el sector salud es el que más tiempo toma detectar los incidentes relacionados a brechas de seguridad sobre la información. Desde el momento que un ataque es exitoso hasta que la institución se da cuenta que sus datos fueron vulnerados pasan en promedio 329 días. Con ello, Latinoamérica presenta uno de los mayores tiempos de detección de ataques del mundo.

Fuente: Desconocida

En México, desde un consultorio hasta un hospital privado o público, puede recibir sanciones por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), por el incumplimiento, sobre todo al artículo 63 y 64, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) (… y de Sujetos Obligados para el caso de los hospitales públicos), por acciones o inacciones que ocasionen la vulneración de bases de datos locales, programas o equipos. Estas sanciones pueden ir desde los 17 mil pesos hasta casi los 28 millones de pesos según la gravedad del caso. Comúnmente estas sanciones aparecen tras ataques de Ransomware acompañados con extorsión (secuestro de información y exposición de la misma en foros públicos en internet) y suele ser denunciado por los usuarios de los servicios médicos que se convierten también en víctimas de estas acciones criminales.

¿Qué puede hacer el sector médico para defenderse de los ciberataques?

De acuerdo a la experiencia recabada en los servicios de digitalización para instituciones de salud privada, la empresa Ikusi México, ha encontrado que la mayoría de los ciberataques documentados a este tipo de organizaciones provienen por correo electrónico tipo “phishing”, navegación en sitios no seguros en internet, prácticas mal gestionadas de BYOD (Bring Your Own Device) donde no existe algún tipo de política para el uso de dispositivos personales dentro de la red de la organización, y la madre de todas las conductas cibercriminales: la ingeniería social, que a través de engaños dirigidos a los colaboradores, los cibercriminales pueden tener acceso a toda la infraestructura e información de las instituciones de salud. 

Fuente: Desconocida

Por lo anterior, la mejor defensa seguirá siendo la formación y concientización de una higiene digital y una cultura “zero-trust”, es decir, una “cultura de desconfianza bien gestionada” que mantenga en alto lo niveles de “alerta”, generando entornos ciberresilientes que permitan la continuidad de servicios en las organizaciones del sector médico.

Share this article

Recent posts

Popular categories

Recent comments