Los ciberataques dirigidos a la industria de la salud están sucediendo con más frecuencia y se están volviendo más sofisticados y dañinos. Hay muchas razones para esto, por supuesto. Pero liderando el grupo están la sofisticación de los atacantes (y los ataques) y la llegada de la IA. También hay razones que son únicas para el sector de la salud, incluido el aumento del uso de la telemedicina, entornos de trabajo remotos o híbridos continuos y el creciente uso de dispositivos médicos conectados, incluidos monitores de ECG, MRI y Sistemas de Dispensación Automática.
No hay discusión sobre el impacto transformador que las nuevas tecnologías y servicios de salud tienen en la atención al paciente. Desafortunadamente, estas innovaciones también han ampliado la superficie de ataque para los ciberdelincuentes y, al hacerlo, han expuesto vulnerabilidades críticas en la infraestructura de salud y los sistemas en los que dependen las instalaciones.
El Departamento de Salud y Servicios Humanos de la Oficina de Derechos Civiles informa que hubo 677 grandes brechas de datos de salud en 2024, que afectaron a más de 182 millones de personas. Si bien el número total de brechas disminuyó en 2024, el volumen de registros comprometidos aumentó a 276 millones. Eso es más del doble del número de 2023, e incluye lo que hasta la fecha es la mayor violación de datos de salud registrada, el ataque de ransomware a Change Healthcare que afectó a 190 millones de personas.
El riesgo general es impulsado por organizaciones de salud que, en muchos casos, continúan confiando en prácticas de seguridad reactivas y desactualizadas que no pueden mantenerse al día con los actores de amenazas en constante evolución. Está claro que se necesita un nuevo enfoque para la seguridad de la salud, uno en el que el énfasis se desplace hacia la prevención proactiva, no la respuesta. Esta última es un diagnóstico perdedor.
Las nuevas amenazas exigen un nuevo enfoque mental
Si bien las amenazas a la salud vienen en muchas variedades, el ransomware sigue reinando, como lo demostró la brecha de Change Healthcare. Otro ejemplo reciente es la brecha de Ascension Healthcare, que se atribuyó al grupo de ransomware Black Basta. El ataque paralizó con éxito los sistemas en más de 140 hospitales, retrasando finalmente cirugías y interrumpiendo servicios de emergencia.
Uno de los mayores talones de Aquiles de la industria es la tecnología obsoleta. Muchas organizaciones de salud todavía confían en sistemas operativos heredados, que continúan utilizando versiones no compatibles de Windows para ejecutar aplicaciones críticas y dispositivos médicos. Dado que estos sistemas ya no cuentan con soporte, no pueden parchearse o actualizarse fácilmente, algo que los atacantes han notado y están aprovechando la oportunidad de explotar estas vulnerabilidades, a menudo sin ser detectados.
Otro riesgo es la multitud de dispositivos que se conectan a la red de una instalación. Estos dispositivos están transformando la atención al paciente. Sin embargo, también introducen nuevas vulnerabilidades. En 2024, la investigación de Censys descubrió más de 5,100 servidores de imágenes médicas expuestos públicamente, lo que pone en grave riesgo los datos sensibles que contienen.
El buen noticias
Las amenazas pueden prevenirse si las organizaciones de salud están dispuestas a cambiar el enfoque de enfoques de seguridad reactivos a medidas preventivas. Al igual que la atención preventiva en medicina (donde los médicos pueden detectar posibles enfermedades en sus primeras etapas), las instalaciones de salud pueden mejorar su postura de seguridad a través de una estrategia preventiva y medidas preventivas.
La ciberseguridad preventiva o proactiva identifica y elimina vulnerabilidades antes de que sean explotadas. Fortalecer la protección de endpoints (que incluye estaciones de trabajo, computadoras portátiles y dispositivos médicos conectados) debería ser una prioridad. Todos los endpoints deben estar asegurados con tecnología capaz de detectar ransomware y bloquear malware sin archivos, dos de las técnicas de ataque actuales y altamente dañinas.
A continuación, considere las tecnologías modernas de protección de memoria, que pueden evitar que los ataques se ejecuten en primer lugar. Esto incluye detener los exploits de día cero y los ataques de Amenazas Persistentes Avanzadas (APTs) antes de que puedan causar daño. Con las soluciones de endpoint adecuadas, las organizaciones de salud pueden detener estos ataques antes de que se produzca un daño o antes de que se comprometan archivos de pacientes sensibles. Y pueden hacerlo mientras se integran con los sistemas heredados de la organización.
Ahora, pasemos a asegurar los dispositivos conectados, especialmente los que ejecutan software obsoleto. Una opción es segmentar las redes, lo que puede ayudar a contener posibles brechas. La protección de la memoria a nivel de tiempo de ejecución puede ayudar a mantener seguros los dispositivos incluso cuando no están disponibles los parches. Cuando se trata de incorporar nuevos dispositivos a su red, busque fabricantes que ofrezcan actualizaciones oportunas de firmware, utilicen parches virtuales e implementen medidas de endurecimiento. Estos son críticos para ayudar a cerrar cualquier brecha que los ataques puedan exponer.
Por último, los sistemas heredados siguen presentando un riesgo, y para la mayoría, la sustitución de estos sistemas simplemente no es una opción. En estos casos, las organizaciones pueden aislar estos sistemas de la infraestructura crítica y luego implementar defensas que puedan protegerlos contra exploits no parcheados.
El lema de cero confianza “Nunca confíes, siempre verifica” es particularmente relevante en entornos de salud donde la verificación continua de usuarios, dispositivos y conexiones es de vital importancia. Las organizaciones pueden comenzar haciendo cumplir controles de acceso e autenticación multifactor. A continuación, implementen monitoreo continuo de comportamiento y el principio de privilegio mínimo, donde a las personas solo se les otorga acceso a los datos y sistemas que realmente necesitan y nada más.
En este punto, es importante señalar que incluso tomando algunas de las medidas compartidas a lo largo de este artículo, nunca estará completamente seguro sin abordar el elefante en cada habitación: el error humano.
Según el Informe de Investigaciones de Violaciones de Datos de Verizon 2024 (DBIR), el error humano no malicioso representó el 68% de las violaciones de datos de salud. Para mitigar el riesgo, considere realizar simulaciones y talleres regulares, que enseñen al personal cómo reconocer el phishing, resistir la ingeniería social y responder adecuadamente a las amenazas emergentes. La formación debe ser continua, personalizada específicamente para el entorno de su organización y centrada en escenarios del mundo real. Algunos ejemplos incluyen llamadas de soporte técnico falsas o correos electrónicos generados por IA que pretenden ser parte de las comunicaciones internas de una organización.
Desafortunadamente, incluso con las mejores tecnologías y un equipo completamente capacitado en las últimas amenazas, los incidentes son inevitables. Cuando ocurran, un plan integral de recuperación de desastres es esencial para ayudar a recuperarse rápidamente. Esto incluye copias de seguridad inmutables que el ransomware no puede manipular, pruebas regulares de procesos de recuperación y un enfoque en las mejores formas en que pueden restaurar operaciones rápidamente mientras minimizan el impacto en sus pacientes.
Por último, la protección dedicada contra ransomware ofrece una última línea de defensa crítica. Estas herramientas abordan cada etapa de un ataque, lo que incluye identificar proactivamente vulnerabilidades y detener los ataques que las explotan, así como reanudar las operaciones y la recuperación posterior al incidente. Los equipos también pueden lanzar investigaciones forenses sobre lo que sucedió, por qué sucedió y cómo se puede prevenir en el futuro. Cuando se combinan con otras estrategias, crean una postura de seguridad capaz de resistir las complejas amenazas que enfrenta la salud hoy en día.
Las organizaciones deben estar preparadas para combatir ciberataques cada vez más sofisticados. Adoptar estrategias adaptativas, preventivas y preventivas puede ayudar a su organización a proteger los datos de los pacientes, mantener sus sistemas en línea y, en última instancia, permitir que su personal se concentre en lo que mejor saben hacer: cuidar a los pacientes.