En el marco europeo, la ciberseguridad juega un papel importante. Cada vez en más sectores se imponen reglamentos estrictos para el uso correcto de la tecnología, como hace ENISA (Agencia de la Unión Europea para la Ciberseguridad), creada en 2004 con el fin de contribuir a la política de seguridad cibernética de la Unión Europea y así proteger a la ciudadanía de los riesgos digitales.
La incorporación de tecnologías avanzadas, la percepción global del riesgo y la capacidad de reacción ágil ante incidentes son esenciales para afrontar los retos de la era digital en un sector crucial para la sociedad.
El sector salud es particularmente atractivo para los cibercriminales debido, en primer lugar, a que maneja grandes cantidades de información sensible de los usuarios, un activo de alto valor que puede generar rédito económico de diversas maneras.
En segundo lugar, los servicios sanitarios constituyen un sector crítico con una dependencia tecnológica que lo hacen especialmente vulnerable ante ciberataques con motivaciones distintas, como ideológicas o políticas, cuyo riesgo no reside únicamente en los datos personales con los que operan las organizaciones sanitarias, sino también en la relevancia de su actividad para el funcionamiento social.
Principales ciberamenazas y tecnologías necesarias
En este sentido, según un estudio elaborado por ENISA en 2023 sobre ciberataques registrados en el sector sanitario entre enero de 2021 y marzo de 2023, el 53 por ciento de estos eventos han estado dirigidos a los proveedores de atención médica, siendo los centros hospitalarios los que han sido afectados por el 42 por ciento de estos incidentes.
No obstante, los ciberdelincuentes emplean diversas técnicas para infiltrarse en los sistemas de los hospitales y de otros entornos sanitarios. Una de las técnicas más comunes es el spear phishing, que consiste en técnicas avanzadas de ingeniería social para suplantar identidades de confianza. Estos correos electrónicos fraudulentos contienen enlaces a sitios web de phishing diseñados para capturar credenciales o archivos adjuntos con malware, como troyanos de acceso remoto. Una vez ejecutado el troyano, se establece una conexión con los servidores del atacante, permitiendo la exfiltración de datos y el acceso persistente al entorno comprometido.
Asimismo, existen ataques más complejos que van dirigidos a sistemas operativos y a dispositivos médicos interconectados que presentan vulnerabilidades de día cero; es decir, vulnerabilidades que han sido descubiertas recientemente y que todavía no cuentan con parches de seguridad. Los atacantes utilizan herramientas automatizadas para escanearlas y modificar el código principal, permitiéndoles obtener acceso no autorizado.
También es frecuente el uso de ataques DDoS (denegación de servicio), que tienen como objetivo abrumar los recursos de red del hospital, haciéndolos inaccesibles para los usuarios. Estas redes de dispositivos infectados con malware para generar tráfico masivo son expuestas a una inundación de paquetes. Automáticamente, la red queda inhabilitada por un periodo de tiempo, generando interrupciones en la disponibilidad de los servicios informáticos de los centros de salud.
Por ejemplo, el Hospital Clínic de Barcelona fue víctima de uno de los mayores ciberataques de 2023 dirigidos a centros sanitarios españoles. Fue perpetrado por un grupo de ciberdelincuentes denominado RansomHouse, que lleva activo desde 2021 y cuyo modus operandi no cifra los datos de las empresas, sino que los roba directamente y luego exige un rescate por su devolución, a diferencia de los grupos tradicionales.
Las consecuencias de este incidente fueron el robo masivo de datos y el bloqueo de los sistemas, que provocó la interrupción de 4.000 analíticas, 300 intervenciones y 11.000 consultas externas.
Otro caso reciente fue el ataque a Synnovis, una empresa que presta servicios de laboratorio al Servicio Nacional de Salud de Inglaterra. Este incidente ocurrió el 3 de junio de 2024 y afectó a 1.600 operaciones en importantes centros hospitalarios de Londres, como el St Thomas y el King’s College.
El ataque fue perpetrado por el grupo ruso Qilin, quienes lanzaron un ransomware que bloqueó el sistema informático, cifrando archivos críticos. La gravedad del incidente tuvo un impacto considerable, ya que retrasó 832 procedimientos quirúrgicos, incluidos cirugías oncológicas y trasplantes de órganos.
Medidas de seguridad para prevenir ataques al sector sanitario
Por todo ello, se deben tomar una serie de medidas necesarias para proteger eficazmente del sector sanitario. Entre ellas, las siguientes contribuyen a mitigar y prevenir los ciberataques más nocivos:
- Plan de respuesta a incidentes. Es fundamental que las organizaciones sanitarias cuenten con un plan bien definido para responder a incidentes de seguridad.
- Copias de seguridad de datos. Seguir la regla 3-2-1: tener tres copias de los datos, en al menos dos medios diferentes de almacenamiento y asegurarse de que una de ellas esté en línea.
- Formación en ciberseguridad. Dado que entre el 60 y el 70 por ciento de las amenazas proviene de la ingeniería social, es vital concienciar al personal para su detección.
- Vigilancia constante. La monitorización continua de los sistemas y redes es esencial para detectar actividades sospechosas.