Por Luis Adrián Gómez.
En la era de la digitalización, todas las industrias están en constante cambio, y la de salud no es la excepción. Actualmente, son muchos los cambios que podemos ver en el entorno de las instituciones de salud, así como los desarrollos tecnológicos para esta industria, algo que todos agradecemos, porque en especial esta área trata un tema crítico para la sociedad, la vida de las personas.
El avance tecnológico ofrece múltiples beneficios para el sector salud. Por ejemplo, actualmente la atención sanitaria no está restringida a cuatro paredes; en la era de la digitalización, la atención médica ya puede ser remota, lo que permite mayor acceso a estos servicios y a una experiencia de atención más rápida; al mismo tiempo, ofrece mejor calidad de vida al personal sanitario. Otra ventaja es contar con expedientes digitales, que den acceso fácil a la información del paciente, lo cual permite mejor análisis y diagnósticos acertados de modo más eficiente.
También existen desarrollos mucho más innovadores, como el uso de la realidad virtual para el uso de tratamientos como el Alzheimer, el estrés postraumático, el tratamiento del dolor, así como para la educación del personal médico. El 5G se usa ya para realizar cirugías a distancia, o el uso de dispositivos implantados en el cuerpo humano y conectados, como marcapasos, o prótesis robóticas controladas por el cerebro, todo, gracias a lo que hoy se le conoce el IoMT, el Internet de las Cosas Médicas. Incluso en la gestión administrativa se hace uso de la tecnología para alcanzar ahorros en consumo de energía, agua, manejo de residuos.
Como lo podemos ver, la tecnología tiene mucho que ofrecer a las instituciones de salud y al desarrollo médico. Al mismo, estos desarrollos conllevan un reto importante en términos ciberseguridad.
La superficie de ataque crece al igual que las implicaciones
Cuando pensamos en un ataque en el sector sanitario, imaginamos que las implicaciones pueden ser mayores, ya que puede estar involucrada la vida de los pacientes. Incluso se ha registrado que el costo financiero derivado de un ataque dirigido a una institución de salud es mayor. De acuerdo con IBM en el Informe sobre el coste de la filtración de datos en 2023, el costo promedio, a nivel global, es de 10,1 millones de dólares. Esta cifra ha aumentado un 41,6% desde 2020.
El más reciente caso del ataque al Hospital Clínic de Barcelona, en España, este marzo del 2023, es una muestra en la que podemos ver cómo un ciberataque puede poner en jaque una gran parte del funcionamiento de una institución de salud. En su caso, el secuestro y encriptación de sus sistemas de información, debido a la infección con ransomware, les obligó a desprogramar 300 cirugías, cancelar más de 11 mil consultas y a operar sin conexión a internet por más de tres semanas consecutivas[2].
Una de las grandes consecuencias de este ataque es que, a pesar de que al principio la institución afirmó que los datos de los usuarios estaban a salvo, días después del ataque debieron reconocer que la confidencialidad e información de sus clientes estaba comprometida. Parte de esa información fue posteriormente publicada por el grupo de atacantes, a través de enlaces compartidos en Telegram.
Aunque la empresa no ha publicado las pérdidas experimentadas a raíz de este ataque, debido a la magnitud, podemos inferir que el impacto negativo ha sido devastador, no sólo a nivel financiero, sino también en términos de reputación. Lo más impactante de todo es que este ciberataque comenzó comprometiendo las credenciales de un usuario de la red hospitalaria, un método muy común de ataque, que continúa siendo bastante efectivo para los cibercriminales.
Una situación que continuará
El aumento de ataques dedicados al sector salud se espera que siga en aumento, porque, tal como las cifras lo confirman, los hospitales e instituciones médicas se han convertido en objetivos muy atractivos para los ciberdelincuentes, porque manejan una gran cantidad de datos sensibles de los usuarios, tales como historiales médicos, información personal, entre otros datos confidenciales que llegan a ser usados inclusive para suplantar identidades y conseguir créditos o beneficios financieros.
Según el, Cyber Security Report 2023 de Check Point Software, el aumento de ciberataques al sector es exponencial, con un incremento del 74% de los casos, entre el 2021 y el 2022. En total, se reportaron 1,463 casos de vulnerabilidades a hospitales, clínicas e instituciones de investigación, durante este periodo.
Lo importante es delinear una estrategia de seguridad que camine al mismo ritmo que la adopción tecnológica. Las instituciones de salud deben de garantizar que pueden proteger los datos confidenciales de los usuarios
Además de los estándares y regulaciones de la industria de ciberseguridad existen regulaciones específicas para el sector como el Joint Commission International, que ayudan a las instituciones a seguir las mejores prácticas. Por su parte los usuarios pueden confiar que estas empresas reguladas tendrán metodología probadas para la protección de su información.
En Cybolt contamos con consultores especialistas en Gobierno, Riesgo y Cumplimiento (GRC) que pueden apoyar a identificar la exposición al riesgo que tiene la institución y definir un camino para cerrar las brechas y mejorar su postura de seguridad y cumplimiento regulatorio. También contamos con una unidad de negocio especializada en seguridad OT/IoT que puede ayudar a identificar las posibles vulnerabilidades en tecnologías de propósito específico para instituciones médicas e implementar mecanismos para remediarlas y reducir riesgos de posibles ataques. Finalmente, también contamos con un equipo especializado en proyección de información que pueden ayudar a identificar y proteger la información sensible de los pacientes y hospitales.
Contáctenos para agendar una consultoría en: [email protected]
Bibliografía:
[1]IBM en: Impact of Data Breach – Hoy en IBM Security
[2] El País: https://elpais.com/espana/catalunya/2023-03-30/los-ciberdelincuentes-filtran-de-madrugada-datos-robados-del-hospital-clinic.html
[3] Check Point: https://pages.checkpoint.com/cyber-security-report-2023.html