El ransomware ha sido durante mucho tiempo una amenaza persistente y costosa para las organizaciones de atención médica, que poseen grandes cantidades de datos sensibles de pacientes y operan en condiciones críticas y sensibles al tiempo. La interrupción causada por estos ataques puede tener consecuencias que ponen en peligro la vida, retrasando tratamientos esenciales y comprometiendo la seguridad de los pacientes. Históricamente, la urgencia de restablecer los servicios rápidamente y evitar interrupciones llevó a muchos a víctimas a pagar rescates. Pero eso está empezando a cambiar. A medida que las organizaciones de atención médica aumentan sus inversiones en ciberseguridad, con asignaciones presupuestarias de TI que aumentan del 10% en 2020 a 14% en 2024, menos víctimas están pagando rescates, gracias a defensas más sólidas y un escrutinio regulatorio más alto.
En general, los pagos de ransomware en los EE. UU. disminuyeron 35% en 2024, totalizando $813 millones, frente a los $1.25 mil millones en 2023. El pago de rescate medio también cayó 45% en el cuarto trimestre de 2024 a $110,890, ya que los pagos siguen siendo en su mayoría una opción de último recurso para aquellos sin alternativas para recuperar datos críticos. Los investigadores de la Healthcare Information and Management Systems Society (HIMSS) también notaron una disminución en el número de víctimas de ransomware que reportan pagos de rescate. Si bien estas cifras decrecientes plantean la pregunta de si pagar a los ciberdelincuentes se está convirtiendo en la excepción en lugar de la norma, la innovación persistente de los actores amenazantes, que se están adaptando activamente a la creciente madurez de la ciberseguridad, advierte contra conclusiones prematuras.
Refuerzo de copias de seguridad y medidas de seguridad mejoradas
Uno de los disuasivos más efectivos para pagar demandas de ransomware es tener una estrategia robusta de copia de seguridad y recuperación ante desastres. En el pasado, muchas organizaciones de atención médica carecían de redundancia adecuada, lo que las dejaba con pocas opciones más allá de pagar a los atacantes para restaurar el acceso a sus sistemas. Sin embargo, la industria ha avanzado significativamente invirtiendo en soluciones de copia de seguridad modernas, que incluyen almacenamiento inmutable, copias de seguridad con aire, y replicación de datos en tiempo real. La restauración a partir de copias de seguridad rara vez es instantánea, sin embargo. Esto hace que tener planes de continuidad documentados y practicados sea crítico para mantener las operaciones sin tecnología clave.
Estas medidas reducen significativamente la presión que ejercen los atacantes. Con copias de seguridad confiables y fácilmente restaurables, y planes de continuidad ensayados, los proveedores de atención médica pueden rechazar las demandas de rescate y recuperar sistemas de forma independiente. Además, las herramientas de seguridad que mejoran la postura de seguridad de las organizaciones, como la detección y respuesta de puntos finales (EDR), la detección y respuesta gestionadas (MDR), y las arquitecturas de confianza cero, están dificultando que el ransomware se implante en primer lugar.
El papel del seguro cibernético y la presión regulatoria
Los proveedores de seguros cibernéticos se han convertido en un factor clave para reducir los pagos de rescate. Anteriormente, muchas pólizas cubrían los pagos de rescate directamente, lo que llevaba a un ciclo en el que las organizaciones pagaban a los atacantes y buscaban reembolso. Sin embargo, las aseguradoras han ajustado sus modelos de riesgo. Hoy en día, las pólizas de seguros cibernéticos imponen requisitos de seguridad más estrictos, a menudo exigiendo autenticación multifactor (MFA), protección de puntos finales y planes de respuesta a incidentes antes de otorgar cobertura. Estos requisitos de seguridad reducen significativamente la probabilidad de sufrir un ataque, disminuyendo así la posibilidad de que se requiera un pago. Algunos proveedores incluso han reducido o eliminado por completo la cobertura de pagos de rescate, lo que hace financieramente impracticable para las víctimas cumplir con las demandas de los atacantes.
Al mismo tiempo, las regulaciones gubernamentales están aumentando los riesgos asociados con hacer pagos. En los EE. UU., la Oficina de Control de Activos Extranjeros del Departamento del Tesoro (OFAC) ha emitido advertencias de que las organizaciones que pagan rescates a grupos vinculados a entidades sancionadas podrían enfrentar consecuencias legales. Dado que muchos grupos de ransomware tienen vínculos con regiones sancionadas, los proveedores de atención médica enfrentan una responsabilidad significativa si eligen pagar.
Para las organizaciones de atención médica, esto significa que más allá de las consideraciones financieras, pagar un rescate podría resultar en penalizaciones regulatorias adicionales y daños reputacionales más allá del costo del rescate. El riesgo de financiar involuntariamente a una organización cibernética sancionada agrega otro nivel de disuasión.
Los actores amenazantes cambian hacia la extracción y extorsión de datos
A medida que disminuyen los pagos directos de ransomware, los ciberdelincuentes están adaptando sus tácticas. Muchos grupos se han alejado de los ataques tradicionales de solo cifrado hacia la extracción y extorsión de datos. En lugar de solo bloquear a las organizaciones de sus sistemas, los atacantes roban registros de pacientes sensibles, datos financieros e información propietaria, amenazando con publicarla públicamente si no se cumplen sus demandas.
Esta estrategia permite a los ciberdelincuentes eludir defensas tradicionales como copias de seguridad y protección de cifrado de archivos, que son ineficaces contra las filtraciones de datos. Si bien las organizaciones pueden recuperar su infraestructura sin pagar, el riesgo de exponer información de salud protegida (PHI) crea un nuevo punto de presión para las víctimas. Dado que las estrictas leyes de privacidad de datos rigen la atención médica, incluido HIPAA, una violación que involucre datos de pacientes puede dar lugar a multas regulatorias severas y demandas colectivas.
Colaboración policial e industrial
Otro factor importante que influye en la disminución de los pagos de ransomware es la mayor colaboración entre la policía y el sector privado. Las agencias federales, incluido el FBI y CISA, desalientan enérgicamente el pago de rescates y han desarrollado fuerzas especiales para rastrear, interrumpir y desmantelar operaciones de ransomware. Estas agencias a menudo ayudan a las víctimas proporcionando claves de descifrado, compartiendo inteligencia sobre actores amenazantes e identificando patrones de ataque para mitigar incidentes futuros.
La industria de la atención médica también ha fortalecido sus esfuerzos de intercambio de información. Organizaciones como el Centro de Compartir e Análisis de Información de Salud (H-ISAC) facilitan la colaboración en tiempo real, permitiendo a los proveedores mantenerse al tanto de las amenazas emergentes e implementar las mejores prácticas.
El camino por delante
A pesar de estos desarrollos positivos, el ransomware sigue siendo una amenaza significativa para el sector de la atención médica. Los actores amenazantes continúan refinando sus estrategias y los incentivos financieros para el cibercrimen persisten. Sin embargo, la combinación de defensas más sólidas, presión regulatoria y colaboración industrial está empezando a inclinar la balanza a favor de los defensores.
Para las organizaciones de atención médica, la lección clave es clara: la inversión continua en ciberseguridad y resiliencia es esencial. Al implementar proactivamente marcos de seguridad robustos, mantener copias de seguridad actualizadas y cumplir con la orientación regulatoria, los proveedores de atención médica pueden reducir su riesgo y contribuir al esfuerzo más amplio de desmantelar los ecosistemas de ransomware.
Foto: boonchai wedmakawand, Getty Images
Chris Henderson dirige Operaciones de Amenazas y Seguridad Interna en Huntress. Ha estado asegurando a los MSP y sus clientes durante más de 10 años a través de varios roles en Garantía de Calidad de Software, Inteligencia Empresarial y Seguridad de la Información.
Esta publicación aparece a través del programa MedCity Influencers. Cualquiera puede publicar su perspectiva sobre negocios e innovación en atención médica en MedCity News a través de MedCity Influencers. Haz clic aquí para averiguar cómo.