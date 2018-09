Según InfoguardCyber Security, el sector de la salud es el blanco principal de los ciberataques, incluso antes que los servicios financieros. La industria sanitaria tiene un registro impensado de información de valor por la cantidad y calidad de datos, convirtiendo al historial médico de una persona en una mina de oro en cuanto a información útil. Evandro García, director de Servicios de Registros Médicos Electrónicos para Philips en América latina, dice al respecto: “A medida que se va digitalizando más y más el sector, por ejemplo, a través de historiales clínicos electrónicos, el ataque para robar la información del paciente, así como datos de confidencialidad de las operaciones de los hospitales, es cada vez más común”.

Las razones radican en que las instituciones no están preparadas para hacer frente a este tipo de problemáticas y eso quizás se deba al desconocimiento, por no dimensionar el alcance de la situación y, por ende, no invertir como corresponde en sistemas de seguridad. Mario Ávila, ejecutivo regional de seguridad de Licencias OnLine, explica: “Las causas pueden ser por el estado actual a nivel de seguridad de las entidades, evolución de IT o procesos de digitalización de datos o usuarios internos con alto riesgo que acceden a los datos sensibles. Pero una de las principales causas es la cantidad de información sensible que se encuentra en los registros de los pacientes y que despierta mucho el interés por parte de los criminales”.

Miguel Ángel Mendoza, especialista en seguridad informática de la empresa de ciberseguridad Eset, entiende que “ya no solo se trata de datos como el nombre, teléfono, dirección o número de seguridad social, sino que también ahora se considera información médica, que podría afectar de forma directa a los pacientes. Por ejemplo, la dependencia a medicamentos, la necesidad de determinados tratamientos o prácticas especializadas y otros componentes que hacen a las personas potenciales víctimas, ya sea porque su información puede ser comercializada en el mercado negro, incluso con consecuencias hacia la integridad física de las personas”.

Según Statista, la pérdida de información en los últimos años ha superado los US$ 12,47 millones en 2017 en el sector salud a escala global. “Por ejemplo, la cepa ransomware 2017 conocida como WannaCry produjo daños por un valor de US$ 4.000 millones y los médicos se vieron obligados a utilizar lápiz y papel para registrar los datos clínicos de los pacientes y brindarles atención médica sin tener acceso a los registros ”, comenta García.

Para Néstor Serravalle, CSO para VU Security, “los ataques cibernéticos más comunes en el área de salud son el phishing, para adquirir información confidencial de forma fraudulenta; ransomware, que bloquea los equipos infectados para pedir rescate para desencriptarlos; y su plantación de identidad para el robo de historia clínica”. No ocurren muy lejos de casa: este tipo de ataques son más comunes en la Argentina, Brasil, México, Chile y Colombia.

Claudio Caracciolo, Chief Security Ambassador de ElevenPaths, complementa: “La mayor cantidad de vulnerabilidades que se encuentran en sistemas de salud están relacionadas a la falta de controles eficientes para los accesos, la utilización de protocolos de comunicaciones débiles o inseguros e incluso a las fallas a la hora de instalar una solución y no configurar debidamente sus opciones de seguridad”.

De acuerdo con Caracciolo, “es muy difícil estimar una pérdida de costos de manera genérica. Cuando el extraño accede a información de los pacientes, parecería que no hay un costo asociado directo porque no hay daños sobre el sistema de salud. Sin embargo, los costos para la institución están relacionados a la pérdida de imagen en el mercado y a los juicios que pueda recibir”. El ejecutivo de VU Security coincide: “El impacto más grande para las instituciones es el reputacional. Los pacientes pierden confianza en cómo se están resguardando sus datos y, por ende, pueden decidir no utilizar sus servicios”.

Un ataque cibernético implica una pérdida de reputación y de credibilidad, pero también daños económicos. En este sentido, María Celeste Garros, directora regional de Ventas de Citrix para la región sur de América latina, plantea que la pérdida de información valiosa repercute en costos monetarios. “Por ejemplo, en algunos casos las filtraciones de datos se generan con el objetivo de luego extorsionar a las organizaciones para que paguen y que no sea difundida información sensible. Adicionalmente, el costo de implementar una estructura de seguridad desde cero ante determinadas urgencias puede ser muy alto, comparado con la posibilidad de tener una estrategia de IT ya planteada que los mantenga protegidos y preparados ante cualquier tipo de inconveniente.”

Cuando el impacto lo vive el paciente

Un ejemplo directo de cómo afecta a los usuarios es el acceso del personal de salud al historial de sus pacientes, en el momento que desean diagnosticar o brindar servicios. “El año pasado según NHS Digital, hubo un ataque masivo en diferentes ciudades del Reino Unido donde 16 hospitales se vieron afectados por un ransomware que causó problemas a nivel de servicios por la información comprometida de sus registros, el apagado de equipos e, incluso, la afectación de dispositivos móviles que acceden a este tipo de información”, narra el vocero de Licencias OnLine. “Esto generó un alto riesgo en la salud de muchos pacientes debido a la ‘indisponibilidad’ de la información para los procedimientos de salud.”

Para protegerse, la implementación de soluciones de segundo factor de autenticación, como tokens móviles, protección de acceso a las redes inalámbricas, reconocimiento de rostro o de voz y uso de análisis de comportamiento basado en inteligencia artificial, robustecen los accesos y previenen el fraude. Adicionalmente, las soluciones de análisis de fraude basado en Inteligencia Artificial también ayudan a identificar comportamientos anómalos para alertar y prevenir un posible ataque antes de que suceda.

Para Caracciolo, las instituciones deben incluir en las licitaciones de los equipos médicos requisitos de seguridad para que los dispositivos a comprar ya contemplen determinadas características y protecciones. A su vez, las implementaciones de estos dispositivos en las redes de la institución deberían ser diseñadas e implementadas por personal con conocimiento en temas de seguridad. Por último, se deben contratar especialistas externos a la institución para que puedan analizar tanto la infraestructura publicada como las aplicaciones utilizadas, contemplando técnicas que los atacantes podrían aplicar, y armando un plan de revisión periódica para asegurarse de que se mantiene el nivel de protección con el tiempo.

--

Nota publicada en la edición 252 (septiembre/2018) de INFOTECHNOLOGY.

R ROCÍO BRAVO