Mildrey Carbonell
Mildrey Carbonell Responsable del Equipo de Pentesting y Red Teaming S21sec

Debemos ligar la ciberseguridad con la salud de las personas

La incorporación de las evoluciones de la Industria 4.0/5.0 y la ciberseguridad en todos los ámbitos de la salud ha ayudado a salvar vidas, agilizar los procesos e incluso generar nuevas formas de comprender la atención médica.

Frente a estos grandes avances nos encontramos con que la sanidad se convierte en un punto de mira de los atacantes y para obtener beneficios de lucro personal o políticos.

Este sector maneja la información más confidencial que existe (protegida incluso por diferentes legislaciones mundiales), y además es esencial y crítico. Cualquier incidente o indisponibilidad de los servicios debe gestionarse rápidamente, minimizando el impacto que pueda causar y teniendo en cuenta que la víctima real siempre es el paciente, ya sea por cuestiones financieras, de reputación o su propia vida. Por todo ello, cuidar la ciberseguridad solo puede ayudar.

De hecho, desde S21sec hemos detectado que el sanitario ocupa ya un lugar entre los cinco sectores más atacados. Los datos de tarjetas tienen un valor pequeño frente a los datos de salud.

Vectores de ataque a la ciberseguridad

La salud y la ciberseguridad se enfrentan a diferentes vectores de aproximación para ataques conocidos, con particularidades diferentes a otros ámbitos:

  • Ataque remoto u online:

Consiste en todo ataque que utiliza la red y los servicios online para obtener sus objetivos. Es uno de los más extendidos, donde los atacantes pueden enmascararse de forma más segura y exponerse poco. Estos ataques se vuelven especialmente sensibles en la salud, con todas las opciones de interconexión que se vienen desarrollando y con la evolución a la ‘e-Salud’.

Parte de la información se está migrando a entornos en la nube, lo que la vuelve potencialmente accesible desde Internet. Los ransomware siguen siendo de los ataques remotos que más impactan al sector, pero los robos de datos, de credenciales de acceso y el phishing dirigido (Business Email Compromise) se están incrementando. Además, desde 2020 se observa un incremento de ataques de denegación de servicio distribuido.

Adicionalmente, es uno de los sectores que más ataques exitosos por vulnerabilidades web o configuraciones inseguras presenta debido al reciente incremento de las aplicaciones y utilidades online hacia la población en general. También es víctima de un ataque cuyos objetivos iniciales son reputacionales y de descrédito, pero que derivan en segundas intenciones. Durante la pandemia del COVID-19 pudimos observar muchas campañas en contra de cualquier avance y con publicidad variada para adquirir tratamientos alternativos. Es una técnica típica de ingeniería social que siempre tiene segundas intenciones.

  • Ataque interno:

Este ataque se origina en alguien que tiene acceso a la red y a los servicios desde dentro de la entidad. En el ámbito de la salud nos encontramos con un grupo de trabajadores variados (médicos, enfermeros, celadores, administrativos, etc.), con alta movilidad, y a los que se intenta dar el máximo acceso para que la atención y la salud de los pacientes sea eficaz. Un empleado puede convertirse en cómplice de un atacante o en un atacante por sí mismo, por voluntad propia, por desconocimiento o por error. La falta de costumbre o formación en el uso de protocolos de seguridad o la vocación de volcarse en la atención del paciente de manera inconsciente son las causas que se encuentran detrás de su vulnerabilidad.

Tampoco hay que perder de vista otros insiders, en este caso los clientes (pacientes, visitantes, acompañantes…) o quienes se hacen pasar por estos, pues también están dentro de las instalaciones y pueden convertirse en atacantes desde el interior.

Otro riesgo que deriva en amenaza interna es que los dispositivos médicos salgan al mercado con pocas medidas de protección, o incluso con sistemas obsoletos e inseguros. Estos dispositivos pueden ser utilizados por pacientes desde sus propias casas sin necesidad de visitar los centros médicos, siendo, en muchos casos, personas que no saben cómo protegerse ante amenazas de ciberseguridad y que usan credenciales predecibles. En consecuencia, son víctimas perfectas de un ciberataque de ingeniería social o candidatos para dejar expuestos el dispositivo accidentalmente, permitiendo ser estudiados para elaborar ataques más avanzados, acceder a información sensible e incluso entrar en los entornos internos.

Te interesa: Hospitales conectados, curando en todos los sentidos.

  • Ataque de proximidad:

Son todos los relacionados con tecnologías de comunicaciones de corto alcance. En particular, en el sector salud nos encontramos con muchos dispositivos médicos que hacen uso de estas tecnologías (Bluetooth, WiFi, RFID, irDA, etc.), muchas de ellas mal configuradas o con protocolos obsoletos e inseguros cuya actualización es costosa o compleja. También se encuentran en zonas con un rango de cobertura que alcanza zonas comunes, permitiendo al atacante estar cerca sin posibilidad de ser descubierto.

En las instalaciones de salud se recibe constantemente a personal externo, cuya razón de ser es atendernos a todos. Por lo tanto, los ataques de este estilo no cuentan con la medida adicional de acceso físico restringido o controlado.

  • Ataques por cadena de suministro (o de proveedores):

Se originan en el proveedor con el objetivo de llegar a sus clientes. Aunque puede atacarse en cualquiera de los formatos anteriores, ha adquirido mucho auge en la actualidad. Por eso es importante mencionarlo por separado.

Este ataque adquiere una connotación diferente en la salud por la gran cantidad de proveedores que posee y los múltiples tipos de accesos que tiene. Durante diversas auditorías realizadas por S21sec nos hemos encontrado, en este sentido, innumerables interfaces de administración de dispositivos con escasas medidas de seguridad. Unos dispositivos que estaban conectados directamente a la red de hospitales, centros de salud u otros dispositivos también críticos.

¡Sigue leyendo!

Aquí te hemos mostrado tan solo una parte de este artículo.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad