Ningún sector empresarial está a salvo hoy en día de los ataques de ransomware. Pero un sector que ha sufrido cada vez más ataques -y con consecuencias de vida o muerte para las personas- es el de la Sanidad, como ha revelado recientemente un nuevo informe de investigación del Ponemon Institute.

En el último año, durante la pandemia, los ciberataques al sector sanitario se han disparado a nivel global, amenazando con interrumpir la atención a los pacientes y exponer datos privados. Algunos ejemplos internacionales de ataques recientes a sistemas sanitarios incluyen el ataque de ransomware al operador de servicios sanitarios de Irlanda, que paralizó los servicios de diagnóstico e interrumpió las pruebas de COVID-19, y el ataque de Hive ransomware al Memorial Health System, que afectó a hospitales, clínicas y centros sanitarios de Ohio y Virginia Occidental.

¿Por qué las organizaciones sanitarias están en el punto de mira de los ciberdelincuentes? La sanidad es un objetivo primordial para los ciberdelincuentes dado que hay un pago potencialmente elevado. Es probable que los hospitales paguen el rescate porque las violaciones de datos pueden desencadenar litigios e investigaciones reglamentarias, y provocar meses de interrupción mientras la organización lleva a cabo actividades de reparación y recuperación. Pero las consecuencias de un ciberataque contra un hospital van mucho más allá de las consecuencias de una filtración de datos. Cuando un hospital se paraliza a causa de un ciberataque, hay vidas en juego. La atención a los pacientes se interrumpe mientras los equipos de TI se apresuran a restablecer los servicios sanitarios.

Los ciberdelincuentes se aprovechan literalmente del hecho de que las organizaciones sanitarias están sometidas a una presión extrema para volver a funcionar, por lo que es probable que paguen sumas asombrosas en concepto de rescate. Según un reciente informe de Sophos, el 34% de las empresas sanitarias acaban pagando el rescate tras un ataque, más que cualquier otro sector industrial.

¿Por qué son tan vulnerables las organizaciones sanitarias y qué pueden hacer al respecto? En primer lugar, tienen que hacer frente a un sinfín de normativas sobre la privacidad de los datos, como la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), la Ley Sarbanes-Oxley (SOX) y el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS). El Directorio Activo (AD) de un sistema sanitario proporciona información valiosa sobre el estado de los roles y privilegios de los usuarios, así como sobre cualquier cambio crítico en el entorno. El AD puede mostrar si una organización ha implementado una arquitectura que soporta el nivel de controles de acceso que exigen las normativas específicas, lo que convierte al AD en una rica fuente de información para los auditores cuando están controlando el cumplimiento con las normativas. Sin embargo, la capacidad de AD para demostrar quién tiene acceso a qué información es también lo que la convierte en uno de los vectores de ataque más comunes para los ciberdelincuentes. Entre otras tácticas, en los ataques en Irlanda y los EE.UU. mencionados anteriormente, los ciberdelincuentes se infiltraron en los sistemas para luego desplegar herramientas para mapear el entorno de AD y obtener acceso a los activos críticos.

En segundo lugar, en un entorno hospitalario de alto nivel de estrés, la rotación de personal es alta. Los equipos de TI encargados de dar de alta trabajadores nuevos y dar de baja los empleados salientes deben estar muy atentos a la hora de comprobar la configuración de los permisos, la creación de nuevas cuentas y la eliminación de las mismas.

En tercer lugar, la implementación de los servicios de telesalud basados en la nube -que comenzó antes de la pandemia, pero que se aceleró durante ella- ha provocado problemas para asegurar el acceso remoto a los sistemas. A medida que las organizaciones adoptan la nube y se autentican en estos sistemas de terceros, su superficie de ataque se amplía considerablemente, ya que el proveedor puede tener políticas de seguridad poco estrictas. Cualquier vulnerabilidad de seguridad grave que tengan los sistemas de terceros basados en la nube también puede utilizarse para infiltrarse en la propia red de una organización sanitaria, poniendo en riesgo los datos de los pacientes.