CIBERSEGURIDAD EN SANIDAD: AMENAZAS Y SU PREVENCIÓN

Proteger a los pacientes tanto virtualmente como en el hospital

El sector sanitario se ha beneficiado enormemente del uso generalizado de Internet y de ordenadores médicos especializados. Las historias clínicas electrónicas, la telemedicina y los dispositivos del Internet de las Cosas (IoT) son solo algunas de las ventajas de las que disfrutan hospitales y consultas en esta era digital.

Lamentablemente, todos estos datos transmitidos de un lado a otro entre dispositivos sanitarios electrónicos son un objetivo prioritario para los ciberdelincuentes. A 22 de septiembre de 2023, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos investigó 907 violaciones de datos solo en los 24 meses anteriores. Cada violación afectó al menos a 500 personas, y la mayor de ellas afectó a más de 11 millones de personas. La ciberseguridad en la sanidad no es sólo cosa de los equipos informáticos; es una preocupación crítica para todos los empleados en todos los niveles del sector.

Sensibilidad de los datos en la sanidad

Los datos sanitarios, incluidos los historiales médicos, los datos personales y la información sobre seguros, son altamente sensibles y confidenciales:

Información sanitaria personal (PHI): La PHI incluye información sobre el historial médico de una persona, sus diagnósticos, tratamientos y recetas. El acceso no autorizado a estos datos puede conducir al robo de identidad, fraude de seguros, o incluso poner en peligro la vida del paciente si los registros médicos son alterados o mal utilizados.

Información financiera: Los historiales médicos suelen contener datos sobre facturación y seguros, lo que los hace atractivos para los ciberdelincuentes con fines lucrativos.

Una filtración de datos en el sector sanitario puede provocar la pérdida de confianza entre pacientes y profesionales sanitarios. Los pacientes esperan que se proteja su información confidencial, y las violaciones pueden erosionar la confianza en las instituciones sanitarias.

Partes interesadas clave en la ciberseguridad sanitaria

Son muchas las partes interesadas responsables de la ciberseguridad en la sanidad, incluidos los pacientes, los directivos, los trabajadores y los proveedores de equipos. Todas las partes deben seguir las mejores prácticas de ciberseguridad.

Los pacientes deben saber cómo comunicarse de forma segura con sus proveedores sanitarios. También deben comprender las políticas de privacidad y seguridad y cómo proteger su información personal. Esto es especialmente importante si interactúan virtualmente con su proveedor, por ejemplo a través de plataformas de telesalud.

Los altos ejecutivos establecen las políticas que determinan el enfoque de una organización sanitaria en materia de ciberseguridad. Muchas empresas emplean ahora a un director de seguridad de la información (CISO, por sus siglas en inglés) al mismo nivel que un director financiero o un director de marketing. La responsabilidad del CISO es centrarse en la estrategia global de ciberseguridad de la empresa mientras sus subordinados la ejecutan.

Los empleados de los centros sanitarios son responsables de conocer las políticas de privacidad y seguridad de su organización. También deben formarse regularmente en las mejores prácticas de ciberseguridad, ser capaces de explicar estas políticas a los pacientes y saber qué hacer en caso de emergencia de ciberseguridad.

Los vendedores y proveedores del mercado deben ofrecer productos con opciones rigurosas de ciberseguridad y protección de la privacidad. Dado que los vendedores suelen tener credenciales o privilegios elevados en múltiples centros sanitarios, deben tener especial cuidado de no sufrir una violación de datos por su parte, no sea que esas credenciales comprometidas se utilicen contra sus clientes.

Amenazas comunes a la ciberseguridad en la sanidad

Los ciberdelincuentes disponen de un arsenal de tácticas y herramientas para introducirse en una red sanitaria y robar datos. Estas son sólo algunas de las formas en que un hacker puede atacar la red de una organización sanitaria.

Phishing

El phishing consiste en intentos fraudulentos de engañar a las personas para que revelen información confidencial, como credenciales de inicio de sesión o datos personales, haciéndose pasar por entidades fiables con las que el destinatario está familiarizado. Los ciberdelincuentes suelen utilizar correos electrónicos o mensajes de texto falsos para pedir al objetivo que abra un enlace o descargue un programa que requiere el uso de sus credenciales de inicio de sesión u otra información personal que posteriormente se utilizará indebidamente

Por ejemplo, un empleado puede recibir un correo electrónico aparentemente legítimo en el que se le pide que actualice sus credenciales de inicio de sesión y, de este modo, proporcionar acceso a los ciberdelincuentes sin saberlo.

El phishing es un tipo frecuente de ciberdelincuencia que requiere un esfuerzo mínimo por parte del delincuente y aprovecha uno de los eslabones más débiles de cualquier sistema de seguridad: el ser humano. Puede provocar el acceso no autorizado a los historiales de los pacientes, fraudes financieros o la introducción de programas maliciosos en los sistemas sanitarios.

Ransomware

El ransomware es un software malicioso que cifra los datos de una organización, haciéndolos inaccesibles hasta que se paga un rescate al atacante. Las instituciones sanitarias son objetivos prioritarios debido a la naturaleza crítica de los datos de los pacientes.

Si la víctima no paga el rescate, los piratas informáticos suelen subir los datos robados a Internet o inutilizar permanentemente el dispositivo del que han tomado el control. Los ataques de ransomware comprometen la privacidad y seguridad de los pacientes y pueden paralizar el sistema del centro.

Sólo en 2022, el sector sanitario sufrió 210 ataques de ransomware. Uno de los mayores, dirigido contra CommonSpirit Health, afectó a más de 620.000 pacientes.

Ataques del hombre en el medio (MITM)

En un ataque MITM, los ciberdelincuentes interceptan los datos transmitidos cuando pasan por una red.

Una de las formas más sencillas de hacerlo es abriendo puntos de acceso Wi-Fi en un lugar público, como un hospital. Estos hotspots suelen tener el nombre del lugar en la red, pero en realidad están gestionados por actores maliciosos. Otras técnicas avanzadas consisten en que los delincuentes imitan direcciones IP para redirigir a la gente a sus sitios web falsos en lugar de a su destino previsto.

Sean cuales sean sus métodos, si un atacante Man-in-the-Middle (MITM) consigue acceder a sus mensajes, puede intentar descifrarlos y leerlos. Una vez hecho esto, el atacante puede utilizar los mensajes pirateados para llevar a cabo robos de identidad, interrumpir las operaciones comerciales o incluso algo peor, dependiendo del contenido de los mensajes interceptados.

Seguridad física

A pesar de la variedad de opciones de infiltración remota, una de las formas más sencillas que tienen los hackers de acceder a una red es hacerse con un dispositivo utilizado en esa red. Una vez robado, los piratas informáticos pueden utilizar el dispositivo para acceder a los historiales de los pacientes, la información del seguro y mucho más. Y lo que es peor, como están utilizando un dispositivo registrado en la red, sus acciones no se detectarán como ilegítimas hasta que sea demasiado tarde para detenerlas. Por eso son tan importantes las funciones de seguridad, como SSO y RFID, que sólo permiten al personal autorizado utilizar los dispositivos de una organización sanitaria.

Ataques distribuidos de denegación de servicio (DDoS)

Un ataque DDoS consiste en una avalancha de solicitudes de conexión falsas dirigidas al mismo servidor. Esto hace que el servidor se ralentice o se bloquee, ya que se esfuerza por mantener el ritmo del abrumador número de solicitudes. En el sector sanitario, esto puede inutilizar los recursos de la red y dejar a los profesionales sanitarios sin acceso a los historiales médicos de los pacientes o sin poder utilizar sus equipos.

Los ataques DDoS suelen utilizarse junto con otros tipos de ciberdelincuencia. Por ejemplo, un dispositivo ya comprometido por malware puede utilizarse como parte de un ataque DDoS sin que su propietario se dé cuenta.

Consecuencias de las violaciones de datos de ciberseguridad en el sector sanitario

Los proveedores de servicios sanitarios que sufren una filtración de datos pueden enfrentarse a varias consecuencias dolorosas, desde pérdidas económicas hasta repercusiones regulatorias.

Preocupación por la privacidad del paciente

Parte de lo que hace que los datos sanitarios sean un objetivo tan tentador para los delincuentes es la cantidad de información privada que contienen. Por ejemplo, las afecciones médicas, los tratamientos y los datos de identificación personal, como los datos de contacto, el número de la Seguridad Social y la información financiera, son algunos de los datos que pueden verse comprometidos durante una filtración.

Cuando estos registros caen en las manos equivocadas debido a una filtración, pueden surgir graves problemas de privacidad, entre ellos:

Robo de identidad: Los ciberdelincuentes pueden utilizar los datos robados de los pacientes para cometer robos de identidad, abrir líneas de crédito, obtener servicios médicos o participar en actividades fraudulentas bajo el nombre de la víctima.

Estigmatización: Los pacientes pueden sufrir estigma social o discriminación si su historial médico, como diagnósticos de salud mental o tratamientos por abuso de sustancias, se hace público.

Angustia emocional: Saber que su información médica privada se ha visto comprometida puede causar una angustia emocional significativa a los pacientes, erosionando la confianza en los proveedores e instituciones sanitarias.

Impacto en la atención al paciente

Una violación de datos puede tener graves consecuencias, como la pérdida de acceso a la red o el apagado completo de un dispositivo. Esto puede dar lugar a situaciones frustrantes, como la imposibilidad de acceder a los historiales médicos electrónicos de un paciente o, en casos extremos, la desconexión sin previo aviso de equipos de soporte vital.

Tiempo de inactividad: Ataques como el ransomware pueden provocar tiempos de inactividad del sistema, impidiendo a los profesionales sanitarios acceder a los historiales de los pacientes y retrasando procedimientos médicos críticos.

Integridad de los datos: Las brechas pueden comprometer la integridad de los registros de los pacientes, lo que lleva a decisiones de tratamiento erróneas y consecuencias potencialmente dañinas para los pacientes.

Pérdida de confianza: Los pacientes pueden perder la confianza en los proveedores e instituciones sanitarias, lo que les lleva a ser reacios a compartir información sensible o a buscar atención médica.

Desvío de recursos: La respuesta a incidentes de ciberseguridad desvía recursos de la atención al paciente, afectando a las operaciones sanitarias y a la productividad del personal.

Pérdidas económicas

Los costes de recuperación de datos, los honorarios legales y el daño a la reputación hacen que el coste medio de una violación de datos en el sector sanitario ascienda a unos 11 millones de dólares en 2023. Esto supone casi el doble que el segundo sector más caro, el financiero, con 5,9 millones de dólares por violación de datos. Este coste se debe a la interrupción de servicios vitales que los hospitales no pueden permitirse y a la prevalencia de ataques de ransomware contra proveedores sanitarios.

Lamentablemente, el número de filtraciones de datos y sus gastos aumentan cada año, ya que cada vez más ciberdelincuentes reconocen que el sector sanitario es un objetivo tentador.

Consecuencias legales y normativas

Incluso después de que se haya identificado y sellado la filtración de datos, los problemas de un proveedor sanitario pueden no haber hecho más que empezar. Los datos sanitarios de los pacientes están fuertemente regulados, y si se descubre que una empresa o proveedor es negligente en la forma en que almacena o protege esos datos, puede enfrentarse a fuertes repercusiones legales. Las infracciones de la HIPAA, por ejemplo, pueden costar entre 100 y 50.000 dólares por infracción. Las infracciones especialmente negligentes pueden acarrear incluso penas de prisión.

Las demandas colectivas de particulares son otro motivo de preocupación. Por ejemplo, el Johns Hopkins Health System fue demandado recientemente tras sufrir una filtración de datos. La demanda acusa a Johns Hopkins de ser consciente de una seguridad informática "deficiente", pero de no actuar, así como de no notificar con prontitud a las personas afectadas por la violación.

Buenas prácticas en ciberseguridad sanitaria

Las organizaciones sanitarias deben dar prioridad a las mejores prácticas de ciberseguridad para mitigar las amenazas y sus consecuencias.

Control de acceso y autenticación

Los ordenadores médicos suelen implementar métodos de control de acceso como lectores RFID o tarjetas inteligentes para garantizar la seguridad física. Las personas que intenten utilizar el ordenador sin la identificación adecuada quedarán bloqueadas. Incluso algo tan sencillo como una pantalla de privacidad puede impedir que miradas indiscretas espíen mientras un profesional sanitario introduce su contraseña.

Formación y concienciación de los empleados

El tipo más común de ciberataque, el phishing, se basa en la falta de conocimiento y el exceso de confianza del objetivo. Enseñar a los empleados a reconocer y denunciar las tácticas de phishing y a utilizar correctamente los filtros de spam puede evitar que se produzcan infracciones.

Una formación similar para reaccionar con rapidez ante una notificación de violación, el uso de la autenticación multifactor y otros aspectos básicos de la ciberseguridad pueden contribuir en gran medida a proteger a las organizaciones sanitarias.

Cifrado y protección de datos

La encriptación de los datos confidenciales es una capa fundamental de la ciberseguridad. Esto garantizará que incluso si los actores maliciosos acceden a sus datos, no puedan hacer nada con ellos si no tienen las claves de descifrado. Por este motivo, solo debe utilizar tabletas y ordenadores médicos con software de cifrado como Imprivata por defecto.

Además, haga copias de seguridad periódicas de los datos y sistemas sanitarios críticos para garantizar la recuperación de los datos en caso de incidente.

Internet de las cosas

Los hospitales modernos dependen cada vez más de redes de dispositivos inalámbricos que interactúan entre sí como parte de un "Internet de las cosas" Por ejemplo, el pulsómetro de un paciente puede transmitir información de forma inalámbrica al ordenador de un profesional sanitario para su control a distancia.

Sin embargo, el problema de estos dispositivos es que a menudo necesitan una mayor ciberseguridad. Esto es especialmente cierto en el caso de los antiguos sistemas heredados en los que todavía confían muchos hospitales. Al conectar estos dispositivos antiguos a un ordenador médico más moderno, un hospital puede seguir utilizándolos al tiempo que aplica medidas de ciberseguridad más modernas.

Respuesta a incidentes y recuperación

Si ocurre lo peor y su organización sanitaria sufre una filtración de datos, es fundamental saber cómo responder a ella. Considere la respuesta a incidentes como si se tratara de un plan de evacuación en caso de incendio, como algo para lo que hay que prepararse, actualizarse y recibir formación. Cuanto antes proteja su organización los sistemas y corrija las vulnerabilidades, menos daños sufrirá.

Desarrolle un plan integral de respuesta a incidentes que describa los pasos a seguir en caso de una brecha de ciberseguridad.

Pruebe y actualice periódicamente el plan de respuesta a incidentes para asegurarse de que sigue siendo eficaz.

Establezca protocolos de comunicación claros para informar a las partes interesadas, incluidos los pacientes y las autoridades reguladoras, en caso de violación de los datos.

Prevenir los ciberataques con los ordenadores médicos adecuados

El número de ciberataques contra entidades sanitarias y sus costes no ha dejado de aumentar. Las organizaciones sanitarias deben hacer de la ciberseguridad una prioridad absoluta, dadas sus graves consecuencias.

Si su organización desea mejorar su ciberseguridad, considere la gama de ordenadores médicos especializados de Cybernet Manufacturing. Además de estar diseñados específicamente para entornos médicos, nuestros ordenadores integran múltiples funciones para protegerse mejor de las amenazas de la ciberdelincuencia, como el cifrado Imprivata y los escáneres RFID para bloquear el acceso no autorizado. Póngase en contacto con nuestros expertos hoy mismo; podemos ayudarle a elegir el ordenador médico adecuado para las necesidades de su organización.