El sector salud mantiene una actividad continua los 365 días del año por medio de sistemas, equipos y dispositivos que almacenan información, activos y datos sensibles de decenas de miles de pacientes que son atendidos diariamente, así como de proveedores y, sobre todo, de personal y profesionales de la salud.
Estos datos representan oro en polvo para los cibercriminales, pues contienen información clave que los hace muy atractivos y un objetivo clave para desplegar algún tipo de ataque. Con ese tipo de información se puede cometer infinidad de delitos, desde extorsiones hasta fraudes por seguros de gastos médicos, ya que a diferencia de datos como los compartidos con el sistema bancario, por ejemplo, es mucho más difícil enmascarar los datos proporcionados a cualquier institución de salud.
El ataque más usual en este tipo de servicios es el que se comete a través de ransomware, con el que se bloquean servicios fundamentales para el funcionamiento; por eso, este sector es objeto constante de ciberataques cuyo propósito es obtener una recompensa a cambio de liberar la información.
Si no se toman las medidas necesarias, un ciberataque por medio de ransomware puede llegar a tener consecuencias catastróficas para la institución, no solo por la interrupción de los servicios o el robo de información de pacientes, sino porque representa también un enorme costo económico y reputacional.
Síndrome de desactualización crónica
Desafortunadamente, la ciberseguridad en el sector salud de la región no es vista como una prioridad. Así, muchas veces el software con el que se cuenta está desactualizado y no se tiene el apoyo financiero para actualizar o desplegar los servicios que almacenan la información importante, o las soluciones y servicios que cuenten con los controles de seguridad adecuados.
Si a esto le sumamos la poca experiencia y falta de capacitación del personal, los organismos de salud se exponen en mayor medida a un ataque, en el que se engaña a aquellos encargados de operar la red de servicios, desde un computador hasta un dispositivo IoT, los cuales son altamente vulnerables sin los controles de seguridad necesarios.
De acuerdo con diferentes estadísticas, en enero de 2020 se estimaba que un 70 % de los equipos utilizados en organizaciones de salud usaría diferentes versiones de Windows totalmente desactualizadas. Una encuesta realizada por Irdeto en 2019 arrojó que al menos en cinco países de América Latina, el 82 % de los organismos de atención médica ha sufrido un ataque cibernético, y los dispositivos IoT han sido el blanco principal.
Otro factor para considerar es la interconectividad, que ha permitido que las redes hospitalarias sean mucho más distribuidas y compartidas. Esto implica nuevos y múltiples riesgos, puesto que sistemas anticuados y obsoletos pueden contener información y también utilizar contraseñas y códigos que no soportan las normas de seguridad que se necesitan hoy en día.
Es por esta razón que se debería contar con sistemas con un nivel de seguridad sumamente alto, que proteja la información de los pacientes, de los usuario, proveedores, etc., ya que si estos llegan a manos de los delincuentes, incluso podrían poner en peligro la vida de alguno de los actores de este complejo sector.
Estos escenarios de riesgo se podrían enfocar y abordar en conjunto con todo el ecosistema que los compone, llámense fabricantes de dispositivos, proveedores de servicios médicos, clusters de innovación, centros de desarrollo o las mismas personas que utilizan diariamente muchos de los dispositivos y la información.
Es esencial capacitar al personal de salud respecto al uso y buenas prácticas de manejo de información, la gestión correcta de los sistemas, usando estándares, marcos regulatorios o frameworks; se deben aplica controles de seguridad a través de tecnología de seguridad de la información que prevenga errores humanos (intencionales o no intencionales) o ataques a la información y servicios que potencialmente puedan poner en riesgo la vida de algún paciente o expongan datos críticos o confidenciales tan cotizados por los criminales.
La nueva normalidad debería impulsar al sector no solo a cumplir con la tarea de proteger nuestra salud, tarea con caracterīsticas heroicas en estos tiempos, sino también a mantener nuestros datos de la forma más segura y controlada, para poder identificar en forma temprana comportamientos humanos que puedan representar un riesgo para estos datos y las potenciales consecuencias que puedan permear la vida de alguno de los actores del sector.
Lea también en Impacto TIC: Salud digital, el papel de la tecnología en el propósito de preservar la vida.
Imagen principal: Pxhere.