Históricamente, los dispositivos médicos que intervienen en procesos físicos han estado aislados de las redes informáticas sanitarias y de Internet. Pero con la transformación digital, la creciente interconectividad de los sistemas ciberfísicos ha dado lugar al Internet de las Cosas Ampliado (XIoT), que abarca todos los dispositivos conectados dentro de una red.
El XIoT presenta amplias oportunidades de eficiencia y ventajas de rendimiento para las organizaciones sanitarias, pero también introduce nuevos tipos de riesgos cibernéticos que deben mitigarse.
El papel de IoMT y OT
El Internet de los objetos médicos (IoMT) se refiere a los dispositivos y aplicaciones conectados que están directamente relacionados con la atención al paciente, como las máquinas de resonancia magnética, los escáneres de tomografía computarizada y los monitores de signos vitales. Además, se conectan a otros tipos de activos dentro del XIoT sanitario más amplio.
A diferencia de los dispositivos informáticos convencionales, muchos dispositivos IoMT interactúan directamente con el mundo físico, por lo que pueden considerarse sistemas ciberfísicos. Por poner dos ejemplos, las bombas de infusión regulan la administración de medicación para mantener la vida y los desfibriladores cardioversores implantados administran descargas eléctricas y restablecen el ritmo normal del corazón.
Además de los dispositivos IoMT, también se utilizan otros tipos de tecnologías de operación (OT) para dar soporte a procesos sanitarios críticos, como PLC (formulario de control sanitario de viajeros), RTU (resección transuretral de la próstata) y sistemas de gestión de edificios que controlan la filtración de aire, la energía, la refrigeración de vacunas y mucho más.
Normalmente gestionadas por ingenieros de instalaciones, las OT suelen aprovechar las conexiones internas con estaciones de trabajo de ingeniería a las que se puede acceder de forma remota para su mantenimiento.
Ataques disruptivos
Cuando se trata de garantizar la seguridad de las operaciones, lo que está en juego es especialmente importante para el sector sanitario, dado el impacto potencialmente mortal de los fallos o las interrupciones. Por ejemplo, los médicos de urgencias dependen de la disponibilidad e integridad de un escáner de tomografía computarizada para diagnosticar rápidamente a los pacientes que han sufrido un ictus. Un retraso o un diagnóstico erróneo debido a un escáner de TC defectuoso podría provocar fácilmente la pérdida de las funciones motoras del paciente, daños cerebrales o incluso la muerte.
En septiembre de 2020 se produjo la primera muerte de un paciente atribuida a un ciberataque
En septiembre de 2020 se produjo la primera muerte de un paciente atribuida a un ciberataque en la Clínica Universitaria de Dusseldorf, en Alemania. Un ransomware dirigido a los sistemas informáticos que contenían historiales médicos electrónicos afectó inadvertidamente a dispositivos OT conectados a la red. Como consecuencia, todos los pacientes con cardiopatías y accidentes cerebrovasculares que acudían a urgencias del hospital fueron desviados. El centro más cercano estaba a 32 kilómetros y un paciente falleció durante el traslado.
Los hackers de sombrero blanco han demostrado vulnerabilidades en dispositivos IoMT aumentando las dosis o manipulando descargas que provocan muerte súbita. Afortunadamente, estos ataques aún no se han llevado a cabo en la realidad. Sin embargo, la viabilidad demostrada de un incidente de este tipo da fe de la urgencia de asegurar el XIoT sanitario.
Te interesa: ¿Están preparados los hospitales para el próximo ciberataque?
Errores y consideraciones del Internet de los objetos médicos
En medio de las crecientes amenazas cibernéticas para la atención sanitaria, el Centro de Servicios de Medicare y Medicaid de Estados Unidos ha ordenado a la Comisión Conjunta que inicie auditorías sobre la ciberseguridad de los dispositivos médicos. Por desgracia, muchas organizaciones sanitarias cometen algún error.
Por ejemplo, intentar utilizar las herramientas de seguridad informática existentes. Este enfoque inconexo fracasará inevitablemente, ya que las herramientas de seguridad informática son fundamentalmente incompatibles con los protocolos y flujos de trabajo que utilizan los sistemas ciberfísicos; en multitud de casos, ni siquiera pueden identificar muchos activos y dispositivos, y mucho menos ayudar a protegerlos.
Otro error es utilizar herramientas dispares y especializadas para gestionar y proteger los sistemas ciberfísicos por separado de los sistemas informáticos. Este enfoque engorroso e ineficaz crea inevitablemente costosos gastos generales de gestión y lagunas de visibilidad.
En su esfuerzo por evitar estos errores, es útil tener en cuenta estas tres consideraciones:
- Tener presente que, a diferencia de las tecnologías de la información (IT), los dispositivos XIoT interactúan con el mundo físico. Esto eleva la apuesta de las posibles implicaciones de riesgo, especialmente en un entorno sanitario, donde las vidas de los pacientes pueden depender del rendimiento fiable del dispositivo.
- Saber que el conocimiento convencional en torno a la seguridad informática no se aplica al XIoT. Incluso los veteranos más experimentados en seguridad informática deben abordar el XIoT con la mentalidad de un principiante.
- No olvidar que los dispositivos de herramientas de ciberseguridad de IT tradicionales son incompatibles con el XIoT, e intentar utilizarlos probablemente hará más mal que bien. Para proteger adecuadamente su XIoT, las organizaciones sanitarias necesitan una tecnología de seguridad ciberfísica específica.
Un enfoque unificado del Internet de los objetos médicos
Estas condiciones dejan muy claro que las organizaciones necesitan una nueva orientación para asegurar este universo en constante expansión de la XIoT. La solución ideal es un enfoque verdaderamente unificado que aproveche el amplio conocimiento del dominio de los sistemas y flujos de trabajo que sustentan cada vertical y entorno apalancado en la red de su organización, así como todas las capacidades a su alcance, incluida la visibilidad de espectro completo, la gestión de riesgos y vulnerabilidades, la detección de amenazas y los controles de acceso remoto seguro. Todo ello debe integrarse perfectamente con la pila tecnológica existente de una organización.
Todavía no existe una solución fácil para garantizar una atención al paciente fiable en medio de los retos de seguridad derivados de la transformación digital y la evolución de las ciberamenazas. Pero siempre que los equipos de ciberseguridad sanitaria comprendan que se necesitan conocimientos externos y herramientas especializadas para proteger adecuadamente el XIoT, se pueden comenzar los procesos críticos para hacerlo.