Una tendencia al alza se observa año tras año, y este 2023 no es una excepción: los cibercriminales centran sus ataques a nivel mundial en el sector de la Salud, como uno de sus principales blancos.

Según un informe del World Economic Forum, hasta la mitad de este año, el sector de salud sufrió un 22 % más de ataques que en el mismo periodo del año anterior, convirtiéndolo en el tercer sector más atacado mundialmente, detrás de educación e investigación, y de finanzas, seguros y comunicaciones, que ocupan el primer y segundo puesto respectivamente.

El sector de la salud es uno de los más vulnerables y atractivos para los cibercriminales, que buscan obtener beneficios económicos o causar daños a la población. Las consecuencias son de gran peligrosidad para la sociedad, ya que afectan desde la atención por ambulancias hasta la provisión de medicamentos y la ejecución de cirugías.

Este es uno de los puntos fuertes que hacen que los cibercriminales apunten a estas entidades: la respuesta ante situaciones de emergencias y urgencias no puede entorpecerse cuando la salud de personas está en juego.

Desde la pandemia de 2020, grupos de ransomware intensificaron sus ataques a hospitales en todo el mundo, aprovechando que los sistemas estaban trabajando al máximo de su capacidad. Los cibercriminales vieron esto como un plus para presionar el pago de rescates luego de un ataque ransomware, o realizar ataques DDoS (denegación de servicios) para entorpecer la respuesta de las instituciones.

Un informe de ENISA (Agencia Europea de Seguridad de las Redes y de la Información) de la Unión Europea y países vecinos revela ciberincidentes en salud. Hasta la mitad de 2023, los ataques más frecuentes fueron:

  • Ransomware: 54%
  • Amenazas de datos: 46%
  • Intrusiones: 13%
  • Ataques DDoS: 9%
  • Ataques cadena de suministro: 7%

El ransomware sigue liderando, entonces, como forma de ataque predilecto sobre el sector de salud. Según el informe Cost of a data breach 2023, de IBM, su incidencia aumentó en un 15,3% desde 2020, y cada ataque se estima que cuesta unos 4,45 millones de dólares.

Más allá del incidente, siguen los problemas. Las brechas de datos exponen a las personas usuarias de estos sistemas, y como consecuencia, las penurias no se circunscriben solo a la atención deficiente de enfermedades o problemas médicos, que pueden complicar peligrosamente su situación. Recientemente, pacientes del Fred Hutchinson Cancer Center sufrieron amenazas vía correo electrónico de un grupo de cibercriminales, que se sucedieron a una brecha de datos a fines de noviembre.

Alguno de los casos resonantes en 2023

El año había iniciado con el ataque al Hospital Clínic de Barcelona, atribuido al grupo RansomHouse, que afectó los servicios de la institución médica que debió coordinar con otros hospitales de la ciudad para dar la atención requerida a sus pacientes, sobre todo aquellos con riesgo de vida.

Este mismo grupo también estuvo activo en América Latina y, en octubre de este mismo año, afectó los servicios de salud y justicia de varios países, en lo que se conoce como un ataque a la cadena de suministro: la empresa atacada provee de servicios digitales numerosas empresas de la región y el mundo, y el grupo utilizó este eslabón como puerta de entrada.

En agosto de 2023, el grupo de Ransomware as a Service (RaaS) denominado Rhysida lanzó un ataque al Holding Prospect Medical, de los Estados Unidos, que afectó a más de 16 hospitales y 116 clínicas en todo el país, que tuvieron que suspender todos sus sistemas TI.

El mismo grupo atacó, en el mismo mes, al Instituto Nacional de Servicios Sociales para Jubilados y Pensionados argentino (PAMI), afectando de forma directa la atención de las personas afiliadas y el sistema digital de documentación. Más de 18 GB de información y 1,6 millones de archivos fueron filtrados. Como en toda filtración de datos sensibles, las consecuencias pueden estar por venir, con correos de phishing, chantajes y engaños a pacientes de ese servicio.

Una preocupación de los estados

En los Estados Unidos, ante los últimos casos, el Department of Health and Human Services reveló este último mes que tiene la urgencia de aumentar el financiamiento de hospitales rurales para que inviertan en tecnologías de seguridad y capacitación de agentes.

Allí identifican como principales vulnerabilidades que pueden ser explotadas por agentes maliciosos y comprometer la integridad de los sistemas y la confidencialidad de los datos:

  • Aplicaciones web
  • Fallas de encriptación
  • Software y sistemas operativos sin soporte
  • Vulnerabilidades explotadas conocidas

Además, la Agencia de Ciberseguridad y Seguridad de Infraestructuras Críticas actualizó en noviembre la guía para mitigación, específica para hospitales y centros de salud, con recomendaciones y buenas prácticas contra amenazas, y con un detalle de vulnerabilidades para tener presentes y prevenir las intrusiones.

Por su parte, el informe ENISA advierte que solo el 27% de las organizaciones encuestadas en el sector de la salud cuentan con un programa dedicado de defensa contra ransomware, y más del 40% de ellas no tiene un programa de concientización de seguridad para el personal no perteneciente al ámbito de tecnología de la información.

El 95% de las organizaciones de salud encuestadas enfrentan desafíos al realizar evaluaciones de riesgos, mientras que el 46% nunca ha realizado un análisis de riesgo.

Conclusión

El crecimiento de ciberataques en el sector de la salud debe abordarse prestando atención a sus vulnerabilidades críticas y comprendiendo el panorama general de amenazas. La inversión en seguridad informática y la implementación de políticas de ciberseguridad integrales serán fundamentales para enfrentar y proteger sistemas tan vitales para la sociedad y el bienestar de las poblaciones.