Brechas de seguridad en hospitales y sector sanitario
Autor: Eduard BardajíHace unas semanas publicamos un artículo hablando de la importancia de la ciberseguridad en el sector sanitario debido al incremento de los ciberataques destinados a este sector, viendo los tipos de malware más comunes que pueden afectar a centros de salud, hospitales, farmacéuticas o biotecnológicas. En este artículo, queremos ampliar la información dada, haciendo un repaso de las vulnerabilidades y puntos débiles más frecuentes en las infraestructuras informáticas de los centros sanitarios, y que pueden convertirse en la principal causa de la entrada de un virus informático en un sistema, paralizando su actividad y poniendo en riesgo la información almacenada.
Un estudio de Cynerio, desveló en 2022 que el 53% de los dispositivos médicos conectados (IoMT) contienen vulnerabilidades críticas que pueden poner en riesgo la seguridad informática de la institución médica.
Pero…
¿Qué vulnerabilidades informáticas debe solventar el sector sanitario para prevenir ciberataques?
Software desactualizado
El software desactualizado es una de las principales causas de la entrada de malware en un sistema informático. Las actualizaciones son una versión mejorada de las funciones que presenta un sistema, incluyendo sus medidas de ciberseguridad. Cada día aparecen nuevos ciberataques y cada vez son más sofisticados. Cuanto más evoluciona la tecnología, más lo hacen los tipos de ciberataques que se llevan a cabo. Cada actualización incluye unas medidas de seguridad concretas, pero que estas, rápidamente pueden quedar obsoletas cuando aparece un nuevo ciberataque, conocidos como ataques zero-day (día cero). Por eso, es importante, tener siempre la última versión del sistema y realizar las actualizaciones pertinentes cuando este lo pide.
Lo mismo pasa, no sólo con el software, sino con las aplicaciones y programas por ejemplo de Windows. Las actualizaciones no están para molestarnos sino para garantizar el funcionamiento, rendimiento y seguridad de un equipo.
Métodos de almacenaje de datos obsoletos
La utilización de excel y programas informáticos antiguos puede suponer un problema de seguridad, puesto que no estarán adaptados a las necesidades actuales. En los centros sanitarios, la recopilación de datos se realiza, normalmente, mediante formularios. Antiguamente, estos eran trabajados con excels o con programas muy poco sofisticados por lo que hace a seguridad informática. La actualización de estos programas y la forma de almacenar los datos hace años que empezó a cambiar en las instituciones más grandes, no obstante, en las pequeñas, muchas veces no se cumplen los protocolos de seguridad requeridos, o no se utilizan herramientas de última generación, que son las que garantizan una mayor seguridad de la información.
Carecer de medidas antiphishing
El phishing es uno de los métodos más utilizados por los ciberdelincuentes y que más probabilidades de éxito tiene a la hora de infectar a un sistema informático. El problema de este tipo de ataque es que normalmente se activa por un error de factor humano, es decir, por un descuido de algún miembro de la empresa. Clicar en un enlace malicioso, descargar algún archivo… son las acciones que provocan la entrada de malware de phishing en un ordenador, propagándose rápidamente a otros dispositivos de la institución.
Cuando esto ocurre, la actividad del hospital o centro sanitario se ve afectada, paralizando las consultas o teniendo que posponer operaciones y visitas. Un problema que juega con la vida y salud de las personas, y que podría evitarse con la implementación de soluciones antiphishing que filtren los correos electrónicos.
No realizar un monitoreo periódico de los sistemas
Una de las principales tareas del departamento IT de cualquier empresa, ya sea del sector sanitario o de otro, es hacer un monitoreo periódico de los sistemas informáticos para garantizar su correcto funcionamiento y rendimiento. Se trata de una tarea técnica y que requiere tiempo, y a veces, por falta de este tiempo, se opta por no realizarse.
No contar con un técnico IT especialista en ciberseguridad
Disponer de un técnico informático no significa que deba o tenga que saber de seguridad informática. Puede tener nociones, pero son dos especializaciones totalmente diferentes dentro de la ingeniería informática. Es por eso, que contar con un especialista en ciberseguridad es garantía de que la infraestructura informática del centro sanitario estará controlada y se podrán minimizar los riesgos de sufrir un ciberataque. Los expertos en ciberseguridad son profesionales especializados en encontrar vulnerabilidades, puntos débiles y brechas en un sistema para implementar la mejor solución para solventarlas. No todas las soluciones de seguridad informática son aptas para todos los sistemas o se protegen de la misma forma. Cada infraestructura es diferente y es por eso, que las medidas a implementar, serán únicas para cada una.
Falta de concienciación y formación a los empleados
Usuarios no técnicos o que no estén acostumbrados a trabajar con nuevas tecnologías porque su profesión no lo requiere, más allá de abrir el correo electrónico o trabajar con herramientas de Microsoft, provoca que estos no sean conscientes de los peligros y amenazas que existen actualmente por lo que hace a seguridad informática. Esta falta de conocimiento puede suponer un desastre, puesto que puede caer fácilmente en las artimañas de los ciberdelincuentes, como por ejemplo, las suplantaciones de identidad.
La formación en ciberseguridad es clave para prevenir los errores de factor humano, haciendo que el personal sanitario tenga capacidad para detectar amenazas a tiempo.
Carencia de copias de seguridad en diferentes formatos
Para garantizar la seguridad de la información y que esta pueda recuperarse fácilmente y rápidamente en caso de pérdida, recomendamos disponer de más de una copia de seguridad y que estas se realicen con frecuencia. La carencia de copias de seguridad actualizadas provoca una alta probabilidad de pérdida de información importante.
¿Necesitas ayuda para minimizar el riesgo de ciberataque? En ESED como especialistas en ciberseguridad que hemos colaborado con diferentes empresas del sector, sabemos lo importante que es la seguridad dentro de la sanidad, es por eso, que trabajamos con una estrategia de hacking ético que consta de dos prácticas, por un lado ESED Attack, lanzamiento de ataques controlados en un sistema para conocer su nivel de ciberseguridad y por el otro, ESED Training, entrenamos a los empleados para que sean capaces de detectar posibles amenazas a tiempo, evitando así que realice alguna acción que pueda poner en riesgo la seguridad e información de la empresa.
¿Te interesa saber el nivel de seguridad de tu infraestructura informática? Realizamos una auditoría gratuita de tu sistema para conocer cómo de segura es. Solicítala en este enlace.