Ciberseguridad en la digitalización sanitaria. Nuevas amenazas. Nuevos retos

Incluido en la revista Ocronos. Vol. VI. Nº 9–Septiembre 2023. Pág. Inicial: Vol. VI; nº9: 238

Autor principal (primer firmante): Alejandro Castellanos Nieto

Fecha recepción: 5 de septiembre, 2023

Fecha aceptación: 17 de septiembre, 2023

Ref.: Ocronos. 2023;6(9) 238

Autores

1. Alejandro Castellanos Nieto*
2. M.ª Ángeles Nieto Diez**

*Cybersecurity Analyst

**Médico de Familia. Master en dirección de sistemas,TIC y Digitalización Sanitaria. CATS Comunidad de Madrid

Introducción

Los ciberataques en la red sanitaria no sólo han aumentado en los últimos años, sino que van a continuar aumentando.

En el momento actual España es uno de los países que está demostrando liderazgo mundial en el ámbito digital lo que también explicaría que sea uno de los países que recibe más ciberataques (El sector sanitario español, es el tercero más atacado del mundo en los últimos meses, según datos del estudio realizado por Check Point 2023, solo están por delante Canadá y Alemania.)

Según se refleja en el informe anual de IBM los costes por filtración de datos en el sector sanitario han aumentado hasta diez millones de euros, que es más del doble del siguiente sector, el económico financiero ocupando el tercer lugar con cifras similares a este, el sector farmacéutico y más del doble de la media del coste de un ciberincidente que está en torno a cuatro millones de euros.

En España, más de 500 instituciones notificaron incidentes o reportes de vulnerabilidad, según el Instituto Nacional de Ciberseguridad (Incibe)

La transformación digital del sector sanitario cambia aún más los requerimientos en ciberseguridad lo que resulta en una mayor complejidad ya que se están adoptando nuevas tecnologías, como la nube, el móvil, la IoT, Big Data y la analítica avanzada aportando estas nuevas soluciones un nivel mayor de complejidad.

Se necesita adoptar estrategias para cumplir con los requisitos actuales en materia de ciberseguridad en la atención sanitaria y utilizar tecnologías que puedan desplegar para mantener sistemas y datos seguros en la era de la trasformación digital.

Por tanto ha de ser una prioridad absoluta que requiere una fuerte inversión en soluciones que incluye una actualización de las infraestructuras informáticas, la formación adecuada de los profesionales, protección de los dispositivos vulnerables con contraseñas seguras, reducción excesiva de los datos y la preparación para los ataques de alto nivel.

Definición y contexto

Existen multitud de definiciones de ciberseguridad:

según ISO (organización Internacional de Normalización) define la ciberseguridad como la condición de estar protegido en contra de consecuencias físicas, sociales, espirituales, financieras, emocionales, ocupacionales, psicológicas educacionales o de otro tipo que resulta del fallo, daño, error, accidente, perjuicios o cualquier otro evento en el ciberespacio que se pueda considerar no deseable.

La norma internacional ISO/IEC 27032 «Estándares de Seguridad para el Ciberespacio» fue desarrollada por la Organización Internacional para Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), y se publicó por primera vez en 2012.

La ISO 27032 establece lineamientos para la gestión de la seguridad del ciberespacio y se centra en el ciberespacio como un entorno de información interconectado.

Proporciona orientación para la toma de decisiones sobre la seguridad en el ciberespacio y establece un marco de trabajo para la implementación de la seguridad en el ciberespacio.

La norma está estructurada de tal manera que puede ser utilizada tanto por los gobiernos como por las organizaciones privadas. La ISO 27032 está inspirada en la Estrategia de Seguridad Nacional de Estados Unidos y en la Directiva de Seguridad de la Información de la Unión Europea, y se basa en las mejores prácticas de seguridad identificadas a nivel internacional.

Las características principales de la norma ISO/IEC 27032 de «Ciberseguridad» son:

• Está basada en el Marco de la OCDE para la seguridad cibernética.
  
  
• Proporciona orientación para la planificación, implementación, gestión y mejora de la seguridad cibernética.
  
  
• Se centra en la protección de las partes interesadas y el mantenimiento de la continuidad del negocio.
  
  
• Define un conjunto de principios de ciberseguridad y establece un modelo de ciclo de vida de la seguridad cibernética.

ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), define la ciberseguridad como “la protección de activos de la información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y trasportada por los sistemas de información que están interconectados”.

La ciberseguridad en el sector de la salud se encarga de preservar la confidencialidad, integridad y disponibilidad de los datos y al mismo tiempo es un método de gestión de riesgos, software y tecnología destinados a prevenir ataques digitales, robos de datos y acceso no autorizado a redes, dispositivos, datos y programas de atención en salud.

La atención médica es un objetivo atractivo para los ciberdelincuentes. Los métodos de seguridad disponibles hasta el momento se quedan obsoletos a medida que se produce la digitalización de las organizaciones.

En el momento actual la existencia de brechas en ciberseguridad en cualquiera de las organizaciones hace que no solo sea posible el robo de datos, siendo este una de las amenazas favoritas de los ciberdelincuentes, sino también interrupciones operativas y multas por violaciones de normativas como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea.

En este sentido el aumento en las violaciones de datos en el sector hace crecer el mercado de ciberseguridad para la salud. A veces se generan situaciones aún peores como es la posibilidad de que los pacientes sufran daños.

El informe sobre ciberseguridad en la salud realizado por Herjavec Group dice que el 70% de las organizaciones encuestadas informaron que los ataques de ransomware en la atención médica han resultado en estancias más largas en hospitales y pruebas que han resultado en malos resultados, incluyendo un aumento en la mortalidad de los pacientes”.

Nuevas amenazas

Desde la pandemia COVID-19 los ciberataques en el sector sanitario se han disparado exponencialmente.

Estos tienen forma, sobre todo, de phishing, ransomware e incidentes dirigidos a aplicaciones web, entre otros.

Estos últimos han aumentado rápidamente en el sector siendo los ataques de secuencias de comandos los más comunes, seguidos de la inyección de SQL (tipo de ataque informático que consiste en la infiltración de código intruso dentro de las sentencias/consultas a ejecutar en la base de datos.

Esta infiltración suele ocurrir a través de los parámetros pasados por los usuarios a un programa o a través de un formulario web.) la manipulación de protocolos y los incidentes de ejecución remota de código o inclusión de archivos remotos.

La creciente amenaza del ransomware es una realidad.

Un ransomware consiste en un malware que tiene como objetivo impedir que el usuario pueda acceder a su información, en ocasiones aprovecha para robar dicha información antes de cifrarla para extorsionar doblemente a la víctima con filtrar sus datos públicamente.

Una vez que la persona infectada no puede acceder a su información, el atacante pide un rescate por ella, argumentando que una vez que se complete la transacción este le dará acceso a la víctima.

Este ciberdelincuente tiene un doble objetivo; primero con el pago del rescate de esta y segundo vendiendo la información en foros.

Los ataques de ransomware mantienen sus niveles de actividad sin previsión de reducción en un futuro próximo.

La ciberseguridad de las empresas del sector sanitario va a estar condicionada por un hecho: manejan datos de carácter personal muy sensibles, como diagnósticos, pruebas médicas, tratamientos, etc.

Con el objeto de proteger la privacidad de los usuarios de los servicios de estas empresas, esta información se considera en la LOPD (Ley Orgánica de Protección de Datos Personales) como datos especialmente protegidos.

Los datos sanitarios se consideran críticos en cuanto a nivel de sensibilidad, porque no se pueden cambiar y son inherentes a una persona; sobre sus patologías, hábitos o debilidades, algo que marca diferencia de otros tipos de datos por ejemplo tarjetas bancarias o contraseñas de aplicaciones que, si se pueden cambiar, romper o crear otros nuevos Si se han visto vulnerados o filtrados no se puede hacer nada el daño ya está hecho.

Además, los atacantes han descubierto que las organizaciones médicas que brindan tratamientos vitales para las personas pueden ser extorsionadas más fácilmente que las empresas de cualquier otro sector, dichos ataques pueden evitar el acceso a información crítica de prescripción y dosis para pacientes con afecciones complejas.

Otros tipos de amenazas como el tráfico de bad-bot o tráfico de bots maliciosos, que intentan extraer datos de sitios web, enviar spam o descargar software no deseado, presenta otro desafío importante en la industria de la salud.

El problema se ha vuelto especialmente acuciante en los tres últimos años, ya que en todo el mundo se han creado nuevas páginas webs para registros y citación de la vacuna de la COVID-19. Los ciberdelincuentes han bombardeado estos sitios con un gran tráfico de bots maliciosos.

Un bad bot puede estar utilizando una falsa identidad para intentar superar las barreras de los firewalls y sistemas de seguridad, robar datos, identidades, números de tarjetas, realizar espionaje comercial, insertar spam o montar una campaña de denegación de servicio distribuido.

El tipo de amenazas está cambiando ya que los ciberdelincuentes utilizan la inteligencia artificial (IA) y el aprendizaje automático (ML,Machine learning) para generar ataques más sofisticados, debiendo enfrentarse a un panorama de amenazas digitales que cada día es más avanzado.

Las nuevas técnicas de ingeniería social (vishing, fishing,Dumpster diving,Shoulder surfing,Pharming etc.) permiten a los delincuentes conectar las rutas de información encontradas en las redes sociales para crear muy buenos perfiles de las personas o de los datos que poseen las organizaciones sanitarias.

El aumento del phishing que va dirigida al sector sanitario tiene que ver con la pandemia COVID 19.

Palo Alto Networks cifra en un 189% el aumento de este tipo de amenaza dirigida a farmacias y hospitales en los años posteriores a la misma. Los ataques de phishing relacionados con la vacuna aumentaron un 530%.

Por otro lado, el uso de nuevas tecnologías dentro del sector sanitario; nube, móvil, la IoT, el Big Data y la analítica avanzada aportan una mayor complejidad y como consecuencia se requiere una nueva forma de ver la seguridad.

En los últimos años, muchas organizaciones sanitarias han adoptado servicios cloud como parte de iniciativas de digitalización.

La pandemia y el aumento asociado de los servicios de telemedicina han acelerado este movimiento.

La información de la salud de los pacientes y otros datos confidenciales se alojan cada vez más en entornos de nube de múltiples proveedores.

A medida que el personal sanitario y los pacientes utilizan cada vez más dispositivos móviles de IoT (para mejorar la salud de sus pacientes) y dispositivos de salud en el hogar como los fitbits se han originado nuevas vulnerabilidades.

En este sentido se estima que se han producido un aumento de un 600% en los ataques a los dispositivos de IoT, concretamente a los dispositivos médicos.

CrowdStrike publica en su sexto Informe Anual de Amenazas 2023, en el que se identifican cuatro riesgos principales que afectan a la seguridad cibernética.

Estos incluyen un aumento significativo en los ataques basados en identidades, una mayor especialización de los ciberdelincuentes en los ataques a la nube, un aumento en el uso de herramientas de gestión remota por parte de los delincuentes que ha aumentado en un 312%.

Lo que les permite evitar la detección y acceder a datos sensibles o distribuir ransomware en sistemas corporativos y un nuevo récord en las capacidades de los delincuentes para alcanzar sus objetivos; los ciberdelincuentes logran sus objetivos en tan solo 79 minutos( lo que supone según dicho informe cinco minutos menos que el año anterior).

Propuestas de mejora

A raíz del encuentro “Claves para mejorar la ciberseguridad en el sector sanitario’, organizado por el Foro de Sanidad el Club de Excelencia en Gestión ha elaborado una serie de conclusiones que además están muy presentes en el Modelo EFQM, una herramienta eficaz para enfocar procesos de innovación reducir el impacto del aumento de los ciberataques en todo tipo de organizaciones, incluido el sector sanitario.

La formación y las buenas prácticas en ciberseguridad por parte del personal sanitario son esenciales.

Si los profesionales del sector sanitario en general, cuenta con una formación básica sobre cómo utilizar contraseñas seguras o cómo identificar posibles amenazas basadas en el engaño y la ingeniería social como el “phishing”,” vhishing” esta mejorará de forma notable.

Formación para concienciar a los profesionales clínicos de manera que sean conscientes de las amenazas y los impactos de la ciberseguridad participando activamente en ella sin que ello suponga una merma en el flujo de su trabajo clínico.

Fortinet, empresa líder a nivel global de ciberseguridad, ha publicado su nuevo informe sobre Concienciación y Formación en Ciberseguridad 2023 con el objetivo de destacar la importancia que las organizaciones le dan a contar con un personal formado en este ámbito para tratar de fortalecer su postura en la ciberseguridad y reducir los ataques.

Este nuevo informe ha desvelado que los empleados son uno de los objetivos más deseados por los ciberdelincuentes, revelando que hasta el 81% de las organizaciones se ha enfrentado a ataques de malware o phishing que estaban dirigidos principalmente a los empleados de la empresa, es decir, los trabajadores pueden llegar a ser el punto más débil de la organización o, en caso de estar formados en ciberseguridad, una de sus defensas más poderosas.

Este mismo informe asegura que la seguridad mejora cuando los empleados son conscientes de los riesgos on line. Todas las personas que conforman una organización sanitaria deben estar concienciadas sobre la importancia de la ciberseguridad para evitar problemas: evitar descargas, no pinchar en enlaces sospechosos, etc. En este sentido los sistemas de información son de gran ayuda.

Los órganos de dirección también deben estar formados, concienciados y adoptar medidas sobre la gestión de riesgos relacionados con la ciberseguridad.

La realización de backups de todos los sistemas de forma periódica resulta primordial. En una industria donde existe una ingente cantidad de datos sensibles como historiales médicos de los pacientes o la propia base de datos del personal sanitario, la recuperación de los datos perdidos es clave. Tener una copia de los mismos en múltiples localizaciones, tanto en la nube como offline, evita que se tenga que pagar un rescate de los datos a los ciberdelincuentes. 

Seguridad en la cadena de suministro siendo necesario que los proveedores de servicios tengan un fuerte compromiso para evitar el robo de datos de salud de los pacientes a través de terceros. Las entidades sanitarias tienen que asegurar la obligación de garantizar que los proveedores tengan las medidas adecuadas para la protección de la información personal.

Es importante contar con el asesoramiento adecuado para cumplir la ley y prevenir problemas detectados desde otros sectores y mantenerse al dia de las “cibernormativas” para cumplir la ley y prevenir problemas detectados desde otros sectores.

Pensar asimismo en el cumplimiento de la normativa como punto de partida; si bien algunas organizaciones empiezan haciendo lo mínimo necesario para cumplir con el RGPD o regulaciones equivalentes fuera de Europa, las organizaciones sanitarias deben pensar en el cumplimiento de la normativa como un punto de partida, así, reconsiderar la forma en la que están gestionando y gobernando los datos dentro de sus organizaciones.

La integración de nuevas tecnologías en salud representa nuevos problemas con respecto a los datos protección y la seguridad cibernética.

Sin embargo, el aumento del procesamiento de datos médicos digitalizados también ha aumentado los riesgos, en términos de la ciberseguridad. Instrumentos legales de la Unión Europea (UE), como la Directiva NIS – Network Information System –, el Reglamento General de Protección de Datos, el Reglamento de Dispositivos Médicos, entre otras, impuso obligaciones a proveedores de atención médica y fabricantes de dispositivos médicos para garantizar una adecuada y uniforme nivel de protección de los datos médicos.

La seudonimización es una técnica de seguridad clave al proporcionar un medio que puede facilitar el procesamiento de datos personales, al tiempo que ofrece garantías sólidas para la protección de datos personales

En términos generales, la seudonimización tiene como objetivo proteger los datos personales, ocultando la identidad de individuos en un conjunto de datos; reemplazando uno o más identificadores de datos personales con seudónimos y protegiendo adecuadamente el vínculo entre estos y las identificadoras iniciales.

Por tanto, la principal ventaja de la seudonimización, es ocultar la identidad de un individuo. También reduce el riesgo de la vinculación de datos personales para un individuo específico a través de diferentes dominios de procesamiento de datos.

Las soluciones de seudonimización dependen en gran medida del estado de la técnica informática y pueden surgir desafíos o limitaciones de implementación con el tiempo, no obstante, se debe seguir trabajando en la protección de datos y la ingeniería de seguridad, incluidas las técnicas de seudonimización de última generación y sus posibles implementaciones.

Políticas de seguridad y análisis de riesgos medir resultados habitualmente y buscar los puntos débiles para corregirlos de forma inmediata con la ayuda de recursos humanos capaces de detectar y anular vulnerabilidades.

Utilizar mecanismos de acceso fuertes :evitar contraseñas sencillas, incorporando métodos como la autenticación multifactorial MFA (MFA, por sus siglas en inglés , método de verificación de identidad que requiere que los usuarios proporcionen al menos un factor de autenticación además de una contraseña, o al menos dos factores de autenticación en lugar de una contraseña, para ganar acceso a un sitio web, aplicación o red),.

Renovar infraestructuras informáticas para evitar que se queden obsoletas, tanto a nivel de hardware como de software ya que el uso de PCs desfasados, así como el de sistemas operativos y antivirus sin tener instalados sus últimas actualizaciones, suponen una importante brecha en la ciberseguridad que los hackers utilizan para atacar a la base de datos.

Es importante contar con equipos avanzados y proveedores de servicios gestionados en la nube ya que darían una mayor resilencia ante este tipo de peligros.

Las redes de atención médica están diseñadas para minimizar los costes y maximizar la eficiencia, siendo objetivos fáciles para los atacantes.

Esto representa una de las vulnerabilidades del sector sanitario. En este sentido una de las herramientas que ayuda a mejorar la ciberseguridad se basa La segmentación de redes que es de gran importancia de forma que funcionen a modo de cortafuegos y que un ciberataque no se extienda.

Si bien la segmentación es una excelente estrategia de ciberseguridad, hay que tener cuidado con la segmentación excesiva ya que cuando una red está demasiado segmentada, puede ser más difícil de administrar, e incluso afectar el rendimiento de la misma.

Realizar auditorías frecuentes de la red para identificar cualquier activo nuevo que se haya agregado a la red es una de las prácticas de seguridad de red más efectivas para cerrar las brechas de seguridad en cualquier organización.

Se necesita disponer de una solución avanzada que incorpore una gran capa de prevención, detección y respuesta ante las posibles amenazas avanzadas; Endpoint Detection and Response (conocida por sus siglas en inglés EDR, es una herramienta que proporciona monitorización y análisis continuo del endpoint y la red cuya finalidad es identificar, detectar y prevenir amenazas avanzadas (APT) con mayor facilidad.)  Sin una protección completa en el endpoint, el resto de iniciativas pueden resultar insuficientes.

Invertir de una forma eficiente porque las consecuencias de un ciberataque son muy costosas.

Conclusiones

Los retos de ciberseguridad a los que se enfrenta el sector de la salud para lograr una sanidad segura son de enorme magnitud, dadas las consecuencias que un ciberataque puede tener en el paciente.

La transformación digital y mejorar la formación en seguridad son aspectos imprescindibles para establecer una estrategia unificada de ciberseguridad.

Además, el sector sanitario debe tener el objetivo de garantizar la protección de la información y disponer de sistemas preparados para los ciberataques y amenazas externas garantizando la continuidad de los sistemas en la organización.

Contar con una estrategia que apueste por la prevención, la respuesta inmediata y la monitorización de nuevas amenazas cibernéticas es fundamental.

Las amenazas son cada vez más sofisticadas y es primordial para las instituciones sanitarias saber cuáles son los riesgos, establecer unos protocolos y ser conscientes de que cualquier resquicio o descuido del personal de la organización puede ser óbice para un ataque.

Bibliografía

1. Al-enterprise.»Ciberseguridad  en lea rede sanitaria en la era de transformación digital» Año 2021 https://www.al-enterprise.com/-/media/as sets/internet/doc.
2. Bankinter. “Informe de seguridad”. Año 2020 https://www.bankinfosecurity.com/ransomw are-wielding-criminals-increasingly-hi t-healthcare-a-20669
3. Check Point Software «Informe deseguridad» Año 2022 https://pages.checkpoint.com/cyber-secur ity-report-2022-spanish.html
4. Correcta safely growing digital. “Ciberataques a Hospitales un problema  grave en auge.” Septiembre 2021,ciberseguridad http://www.epe.es/es/sanidad/20230307/po r-que-tantos-ciberataques-hospitales,
5.  Crowd Strike. “Reporte de Amenazas Globales de CrowdStrike». Año 2023. http://www.crowdstrike.com/resources/rep orts/global-threat-report-executive-su .
6. Deustosalud.»Transformación Digital en el sector salud».12 julio 2023 .https://www.deustosalud.com/blog/gestio n-sanitaria/transforamcion digital en el sector salud.
7. -Digital security   (8 Enero 2021) «Canada, Alemania y España.los paises donde más aumentan los ataques del sector sanitario» https://www.itdigitalsecurity.es/actuali dad/2021/01/canada-alemania-y…
8. Digit alsecurity.»Seguridad Digital en la actualidad». 14 junio 2023. https://www.itdigitalsecurity.es/actuali dad/2023/06/estas-son-las…
9. Foro de Sanidad del Club Excelencia en Gestión. 21 Agosto 2023 “Las 7 claves para mejorar la ciberseguridad en el sector sanitario”.https://www.clubexcelencia.or g/el-club/noticias/las-7-claves-para-m ejorar-la ciberseguridad en el sector sanitario
10. Fornitet Informe.“Informe del estado de la tecnología operativa y ciberseguridad.»Año 2023.www.fortinet. com/lat/demand/gated/report-state-ot-c ybersecurity
11. INCIBE.»8 consejos para la privacidad de los datos en el sector sanitario».2023.https://www.incibe.es/in cibe/tags/ciberseguridad
12. ISO – International Organization for Standardization.»Information tecnology-Security techniques-Guidelines for cybersecurity».Año2012.http.//www.iso.or g/standard/44375.htmlISO/IEC27032:2012
13. Jessica Davis» The 10 Biggest Healthcare Data Breaches of 2019, So Far»23 julio 2019 https://healthitsecurity.com/news/the-10 -biggest-healthcare-data-breaches-of-2 019-so-far
14. Vera Pinto, VE. (2017). “Modelo parcial de excelencia EFQM para el ecosistema actual de la ciberseguridad en España dentro de un marco I+D+i.” http://hdl.handle.net/10251/86744.