Red Seguridad 102

56 red seguridad tercer trimestre 2023 salud 5.0 monográfico Así, el déficit de comprobaciones de seguridad en el API puede permitir a un atacante acceder o incluso manipular re- gistros de pacientes a los que no debería tener acceso. Asimismo, el simple uso de aplicaciones médicas ya conlleva un ries- go en sí mismo, debido a que los atacan- tes pueden conseguir que otras aplicacio- nes del dispositivo accedan a sus datos, esparciendo información relevante entre varios agentes. Con todo, la combinación de todos estos factores provoca que las vulnerabilidades en las aplicaciones mó- viles sean más difíciles de identificar y co- rregir que las de las páginas web. Normativa Además de los riesgos mencionados anteriormente, otra de las principales preocupaciones que gira en torno a las aplicaciones web médicas es el cum- plimiento de normativas específicas del sector de la salud y la protección de datos personales, ya que, en algunos casos, puede ser necesario cumplir con legislaciones relacionadas con la priva- cidad y seguridad de los datos médicos de los pacientes. Por ejemplo, la Ley de Transferencia y Responsabilidad de Seguro Médico en Estados Unidos o el Reglamento General de Protección de Datos en Europa. Aplicaciones médicas El ecosistema de las aplicaciones mé- dicas es complejo y se ve afectado por diversos retos. El desarrollo seguro de nuevas aplicaciones se enfrenta al man- tenimiento de sistemas legacy o aplica- ciones heredadas que permanecen en uso, mientras que la evolución tecnoló- gica se caracteriza por un cambio rápido en las necesidades de seguridad. Por todo ello, las pruebas para validar la resistencia a los ciberataques son un elemento imprescindible, desde exáme- nes de seguridad de la parte expuesta de las aplicaciones a través de análisis de tipo pentest , hasta campañas de Red Team que pongan a prueba la seguridad de toda la organización del prestador de salud. Así, a pesar de que las aplicaciones médicas son una herramienta valiosa para mejorar la atención sanitaria, debe- mos ser conscientes de que también son vulnerables al cibercrimen, lo que puede afectar gravemente a la privacidad de los pacientes. Por todo ello, es realmente importan- te incorporar la seguridad en todo el ciclo de vida de la aplicación, desde su creación hasta su desarrollo y posterior actividad. De esta forma, no solo nos aseguraremos de que la información está protegida, sino también de que cumplimos con las normativas del sec- tor sanitario y de protección de datos. Contar con una red de seguridad en un ámbito tan relevante como el de la salud se ha convertido en una obligación para garantizar la seguridad de toda una so- ciedad. Servicios y herramientas En el departamento de Offensive Se- curity & Strategic Advisory de S21Sec contamos con una amplia oferta de ser- vicios orientados al sector de la salud, así como los servicios de consultoría en Application Security , cuya solución se enfoca en proteger las aplicaciones des- de la etapa de diseño y desarrollo hasta la auditoría de la infraestructura final, brindando una protección completa en cada paso del proceso. Por otro lado, los servicios de auditoría IT/OT han apoyado al sector de la salud en diversos ámbitos, como el análisis de dispositivos móviles, pruebas de intru- sión en hospitales o ejercicios de Red Team a organizaciones vinculadas tanto a la sanidad pública como a la privada. Gracias a estas herramientas, los ser- vicios de salud pueden contar con una sólida protección frente a las ciberame- nazas y vulnerabilidades, garantizando la seguridad de los datos empresariales y de los usuarios.