El sector de la salud está en el punto de mira de las ciberamenazas a un ritmo cada vez más alarmante. Una vez superado significativamente en términos de brechas y ataques maliciosos por otros sectores como el financiero y el minorista, la sanidad ya no está al margen. En primer plano se encuentran cinco de las ocho mayores brechas de seguridad que han afectado a esta industria en los últimos cinco años. Según los datos de IBM X-Force Interactive Security Incidents del 1 de enero de 2015 al 31 de octubre de 2015, las cinco se produjeron en el primer semestre de 2015, con casi 100.000.000 de registros sanitarios comprometidos.
La joya de la corona del sector sanitario: PHI
¿Por qué el sector sanitario se ha convertido en un objetivo popular? La respuesta está en los datos. La joya de la corona de la sanidad, la información sanitaria protegida (PHI), tiene un excelente valor de reventa en el mercado negro. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) introdujo el término PHI para representar los registros médicos y la información de salud de un individuo. Otro término de uso frecuente en el ámbito sanitario es el de historia clínica electrónica (HCE), que es un registro que contiene PHI. Además de la información médica, las HCE también pueden contener direcciones de correo electrónico, números de la Seguridad Social e información bancaria y laboral.
Las consecuencias de una PHI comprometida son múltiples. Aparte de los importantes costes para la organización sanitaria afectada, los clientes de la empresa afectada se enfrentan a una plétora de posibles dificultades y costes. Este importante coste para la víctima individual se traduce en un daño a la reputación de la institución sanitaria afectada. Según el estudio «2015 Cost of Data Breach Study» del Ponemon Institute, las empresas sanitarias y farmacéuticas experimentan una mayor pérdida de clientes tras una filtración de datos que otros sectores en situaciones similares.
Los datos de IBM MSS revelan el talón de Aquiles de la sanidad
IBM Managed Security Services supervisa continuamente miles de millones de eventos al año, notificados por más de 8.000 dispositivos de clientes en más de 100 países. El análisis de los datos recogidos desde el 1 de enero de 2014 hasta el 31 de octubre de 2015 revela algunos hallazgos interesantes en relación con los tipos de ataques dirigidos al sector sanitario.
Documentos y sitios maliciosos
Conseguir que una víctima abra un documento malicioso o haga clic en un enlace que lleve a un sitio malicioso están demostrando ser métodos de ataque exitosos contra la industria de la salud, con la entrega de un documento malicioso que parece ser preferido a un enlace malicioso.
Shellshock
Shellshock, una amenaza que cambió el juego en 2014, está bien documentada en el Índice de Inteligencia de Ciberseguridad 2015 de IBM. Este vector de ataque sin malware que se aprovecha de una vulnerabilidad en el shell GNU Bash sigue siendo una amenaza importante y persistente.
Ataques de fuerza bruta
Los atacantes utilizan un método automatizado y repetitivo de prueba y error para descifrar el nombre de usuario y la contraseña de una persona y así obtener acceso a las cuentas de administrador o a las aplicaciones que almacenan datos en una aplicación web o en un servidor orientado a la web. Una vez dentro, los atacantes pueden inyectar malware que potencialmente puede llevarles más lejos en la red de la organización sanitaria objetivo.
Aplicaciones antiguas y no sancionadas
Las organizaciones hospitalarias que utilizan versiones anteriores de Internet Explorer corren el riesgo de que un atacante utilice VBScript para ejecutar código arbitrario en un sistema vulnerable. IBM MSS descubrió que muchos empleados de empresas sanitarias utilizan una serie de aplicaciones que pueden o no estar oficialmente autorizadas por la organización, lo que dificulta la incorporación de esos sistemas a la seguridad y ofrece a un atacante un vector de ataque adicional.
Hacer de la ciberseguridad una prioridad empresarial
Uno de los principales retos a los que se enfrenta la sanidad es poder abordar el riesgo cibernético para dirigir la inversión y los recursos en tecnología de la información, especialmente cuando las organizaciones abordan la seguridad de los datos y las tecnologías. Las organizaciones sanitarias están sintiendo esto de manera más aguda que la mayoría de los sectores debido a la sensibilidad, el volumen y la velocidad de los datos en tránsito y que viajan a través de sus redes.
Los ciberdelincuentes ven en esto un entorno rico para robar datos. La capacidad de los atacantes para causar un daño de consecuencias inmediatas, física o económicamente, habla de la necesidad de que el sector sanitario aborde los problemas y centre las inversiones rápidamente.
Aunque estos retos de seguridad puedan parecer desalentadores, las organizaciones sanitarias que hacen un esfuerzo concertado para situar la ciberseguridad a la cabeza de sus prioridades están en una posición fuerte para evitar el peligro. Cumplir con los numerosos requisitos reglamentarios de la sanidad es un buen comienzo, pero no es suficiente para frustrar los ataques actuales y mantener a las organizaciones fuera del foco de las infracciones. Hay que hacer más para reforzar la postura general de seguridad en todas las entidades sanitarias, desde los hospitales hasta los consultorios más pequeños y los fabricantes de dispositivos, para garantizar la protección de la PHI. La única manera de hacerlo es convertir la ciberseguridad en una prioridad empresarial.