Red Seguridad 106

46 red seguridad tercer trimestre 2024 monográfico salud 5.0 La ciberseguridad en la salud es cada vez un tema más crítico, y su importan- cia crece a medida que el sector se digi- taliza a un ritmo acelerado. Tampoco podemos olvidar que el CO- VID-19 incrementó esta tendencia, obli- gando a proveedores de salud a prestar especial atención a la ciberseguridad, ya que tuvieron que proporcionar atención y mantenimiento remotos y gestionar datos sensibles. Esto ha hecho que au- mente la superficie de ataque para los cibercriminales. Objetivo atractivo El sector salud es un objetivo atractivo para los atacantes debido a la natura- leza crítica y sensible de la información que maneja. Los registros médicos elec- trónicos, los sistemas de información hospitalaria y otros sistemas críticos contienen gran cantidad de datos per- sonales, financieros y de salud valiosos para los delincuentes. Pero además de estos datos sensibles, se deben consi- derar también las tecnologías conocidas tradicionalmente como OT (Tecnologías de Operación) que abundan en los en- tornos hospitalarios y que, a menudo, no están protegidas en este sector frente a ciberataques de forma adecuada. Por tanto, no podemos contemplar únicamente los escenarios IT, sino que debemos gestionar el riesgo también de activos como: sistemas de esteriliza- ción y control de infecciones; sistemas de control de laboratorios; sistemas de gestión de edificios, especialmente la climatización; sistemas de distribución de energía; dispositivos médicos co- nectados (por ejemplo, bombas de in- fusión, monitores de constantes vitales, máquinas de diálisis, ventiladores…) y sistemas de gestión de fluidos y gases médicos. Además, se deben incluir también sis- temas relacionados con la seguridad y la vigilancia y el transporte automatizado (principalmente en grandes hospitales). Tipología de ciberataques Los ataques de ransomware son, quizás, los más conocidos y devastadores, in- cluso para este sector. Un ejemplo des- tacado es el ataque de WannaCry, en 2017, que afectó a múltiples hospitales alrededor del mundo, forzando la cance- lación de citas y cirugías. El phishing continúa siendo una técni- ca común utilizada para obtener acce- so a los sistemas de salud. Los correos electrónicos fraudulentos que parecen provenir de fuentes confiables engañan a los empleados, a menudo, solicitando que descarguen archivos que contienen malware . Por otro lado, los datos de salud son extremadamente valiosos para el robo de identidad, ya que contienen informa- ción valiosa para abrir cuentas banca- rias, obtener tarjetas de crédito y come- ter fraudes. Los ataques a dispositivos médicos conectados, como marcapasos o bom- bas de insulina, también son vulnerables a ciberataques. Un acceso no autoriza- do a estos dispositivos puede poner en peligro la vida de los pacientes. Ejemplo de ello fue la explotación de una vul- nerabilidad en las bombas de insulina Medtronic que permitió acceder a estos dispositivos. Una de las consecuencias más temi- das de todos estos ciberataques, ade- más del daño económico, es, sin duda, la pérdida de confianza por parte de los pacientes y público en general. Estamos hablando de un sector que se dedica a salvar o mejorar la vida de las personas, y la interrupción de servicios sanitarios puede tener consecuencias directas e irreversibles en algunos casos para los pacientes. Por otro lado, hablamos de conse- cuencias legales y regulatorias graves para las instituciones sanitarias. En este sentido, para no perder el tren de la ci- berseguridad, desde la Unión Europea, y Ciberseguridad OT en el sector salud: ¿vamos tarde? M aite C arli Responsable de Comunicación y coordinadora europea del Centro de Ciberseguridad Industrial (CCI)