Nadie está a salvo de los secuestros cibernéticos

Trend Micro y Hitrust presentan un informe que saca a la luz todas las vulnerabilidades de las redes informáticas sanitarias. Capturar información a cambio de un rescate es una práctica frecuente, sencilla y rentable... contra la que se puede luchar.

Rosalía Sierra. Madrid | rsierra@diariomedico.com | 04/06/2018 00:00

Se cumple ahora un año desde que el ciberataque masivo Wannacry colapsó el sistema sanitario británico y aterrizó en España en forma de secuestro informático de Telefónica. El NHS se vio forzado a cancelar 19.000 citas, incluyendo cirugías.

Aunque el susto fue mayúsculo en toda Europa, pocas cosas han cambiado. El ataque no se habría producido si los entornos informáticos sanitarios fueran más seguros, pero "los sistemas siguen siendo muy básicos, la vida útil de los equipos médicos es más larga que la de sus sistemas operativos, y, muchas veces, no se actualizan", describe a Diario Médico David Sancho, investigador de amenazas de Trend Micro y responsable del equipo de investigación de la compañía en España y Portugal.

Los datos de tipo sanitario, de gestión y de identificación son tres de los principales objetivos de los ‘cibersecuestradores’

Por ello, la empresa, especializada en estas lides, ha realizado un informe en colaboración con la Health Information Trust Alliance (Hitrust), una agrupación de empresas de salud, tecnología y seguridad informática, sobre cuáles son los retos a los que se enfrentan los sistemas sanitarios desde que los piratas informáticos descubrieron que, por un lado, la información sanitaria es incluso más valiosa que la bancaria y, por otro, es tremendamente fácil acceder a ella.

Identificando al enemigo

El informe, titulado Protegiendo los hospitales conectados, ha utilizado el modelo Dread de identificación de amenazas, siglas correspondientes, en inglés, a daño, reproducibilidad, explotabilidad, usuarios afectados y facilidad para descubrir el ataque. Según el análisis, existen en el ámbito sanitario tres amplias áreas de interés que tienen un alto riesgo de ser atacadas por los ciberdelincuentes.

En primer lugar, información de gestión hospitalaria, que incluye ciberamenazas contra los sistemas críticos cotidianos, como bases de datos de planificación de personal, sistemas de búsqueda de hospitales, controles de edificios, sistemas de transporte de tubos neumáticos, sistemas de inventario, nómina, administración, etc.

El acceso a información hospitalaria desde proveedores externos puede suponer una ventana de acceso para los atacantes

La segunda gran amenaza pende sobre la privacidad de los datos, como la información de identificación personal (PII), tanto para los pacientes como para los empleados del hospital, incluidos los datos de diagnóstico y tratamiento; información de seguros y financiera; datos de investigación y estudios farmacológicos; nóminas; propiedad intelectual (IP), etc.

Por último, los ataques que pueden llegar a afectar a la salud del paciente: esto incluye ciberamenazas contra los dispositivos y sistemas médicos que se utilizan para el tratamiento, la monitorización y el diagnóstico de pacientes, así como las amenazas cibernéticas contra el sistema de información del hospital (HIS).

Sobrecargar de información las redes para que éstas queden inutilizadas: así se definen, en lenguaje corriente, los ataques tipo DDoS. Y estos son, según el informe, "la amenaza más seria para las organizaciones de atención médica y hospitales".

Copias de seguridad, sistemas de bloqueo y un adecuado reparto de credenciales son algunas de las soluciones más accesibles

Estos ataques representan la amenaza más grave ya que son bastante fáciles de ejecutar y no requieren conocimientos especializados sobre los dispositivos o sistemas de los que se aprovechan.

No obstante, los ataques más frecuentes -y más rentables- son los secuestros cibernéticos, o ransomware. "Se trata de encriptar información, imágenes médicas, servidores o bases de datos de modo que el hospital no puede acceder a ello". Para liberar la información se pide un rescate, "no muy alto, que se pueda pagar", describe Sancho. Y, si el centro "no tiene copias de seguridad, que es lo más habitual, o si estas copias de seguridad también han sido secuestradas, normalmente se paga".

¿Y cómo acceden los atacantes a las redes sanitarias? "Cada vez resulta más fácil. Muchos profesionales utilizan a menudo, por ejemplo, el correo electrónico, una vía perfecta para infectar una red".

Todos conectados

Ahí se encuentra, precisamente, una de las mayores vulnerabilidades de los sistemas de salud: el exponencial crecimiento de las redes y los dispositivos conectados. De hecho, según el informe, internet de las cosas (IoT, por sus siglas en inglés) ha llevado a contar con dispositivos, impresoras, puertos y otras fuentes a conectarse entre sí "sin las suficientes garantías de seguridad". Incluso, muchas redes hospitalarias "están mal configuradas".

A juicio de Sancho, estos problemas de configuración llevan no sólo a ataques intencionados, sino a que "cualquiera toquetee el wifi cause un problema".

Y no sólo en el hospital: muchas amenazas llegan de fuera. "Existen riesgos potenciales asociados con los proveedores de bienes y servicios en organizaciones de salud: un infractor puede filtrar información confidencial o sensible, introducir una función o diseño no deseado, interrumpir las operaciones diarias, manipular datos, instalar software malicioso e introducir dispositivos falsos y perjudicar a la continuidad del negocio".

Así, según el informe, "el sector sanitario es más que nunca el sector más dependiente de los sistemas basados en la nube, los proveedores de servicios externos y los proveedores de la cadena de suministro".

Además, es cada vez más frecuente "externalizar procesos y funciones a empresas externas, empresas que tienen, a menudo, acceso directo a la red del hospital".

La línea de riesgos es muy larga, ya que afecta a fabricantes de productos sanitarios, suministros y equipos; centrales de distribución; compañías de transporte y logística; proveedores; vendedores y contratistas en su relación con el personal del hospital; desarrolladores de software y app; programas no actualizados ni con los parches adecuados, e incluso empleados descontentos y personal de apoyo.

Hay solución

¿Qué significan estas vulnerabilidades? Que las soluciones, según Sancho, son aparentemente sencillas: "Habría que conseguir o, al menos, ir pensando en dedicar parte del personal de informática exclusivamente a seguridad".

Estos equipos suelen pecar de escasos y con una formación más adecuada al desarrollo y mantenimiento que a bloquear ataques: "Los servicios de informática suelen estar a tope y sólo tienen tiempo de ocuparse de lo básico; los que deciden deberían pensar qué les compensa más".

De hecho, la mayor parte de los hospitales carecen de un equipo de respuesta dedicado a ciberseguridad. En la mayoría de los centros, según el informe, el personal de informática tiene una doble función: "Investigar y mitigar los incidentes de un ciberataque, así como proporcionar servicios generales de tecnologías de la información al hospital", lo que convierte al personal en un divide y vencerás.

Medidas de respuesta

Contra los cibersecuestros, lo más efectivo es "contar con copias de seguridad", a ser posible, alojadas en un servidor diferente o en la nube.

Para evitar los problemas en cadena, el experto recomienda "estudiar cómo está segmentada la red, si lo está, definir subredes y limitar las credenciales de acceso según el perfil del personal y la información que pueden necesitar".

Asimismo, es recomendable "realizar un estudio de qué dispositivos están conectados y qué tipo de conexión tienen, qué nivel de parches se han instalado y elaborar planes de soporte en caso de ataque".

Luego, en el caso de que la seguridad se tomara en serio y se decidiera invertir en ella, existen sistemas que se pueden incorporar, como soluciones antiphising, detectores de brechas e intrusos, sistemas de control de seguridad en dispositivos personales -móviles, tabletas y ordenadores desde los que se pueda acceder a la red del hospital-, tecnologías de encriptación, escáneres de vulnerabilidades, tecnologías de engaño -vías de acceso falsas para despistar a los atacantes- y sistemas de detección de dispositivos conectados a la red.

Sin embargo, quizá lo más importante sería empezar por el principio: "La mayoría de los proyectos informáticos a medida que se encargan van tarde, se quieren para ya, y se tiende a pensar que la prioridad es que funcione, y luego ya se verá cómo protegerlo. Si se introdujeran criterios de seguridad desde el principio se evitarían muchos problemas".