Los ataques de ransomware en organizaciones de salud siguen aumentando. Según IT Governance USA, el sector de la salud reportó 280 incidentes cibernéticos hasta junio de 2024. A mitad de 2024, esa cifra representaba el 24% de todos los eventos cibernéticos en los Estados Unidos. Los proveedores de salud enfrentan una presión creciente para asegurar los datos de información de salud protegida (PHI) de cada paciente mientras minimizan las interrupciones.
Las organizaciones de salud que atraen el interés de los criminales cibernéticos no es algo nuevo. Este sector siempre ha sido un objetivo, y ese blanco creció durante la pandemia de Covid-19. Durante este tiempo, la industria digitalizó rápidamente sus operaciones como parte del cambio hacia la atención remota en lo que parecía ser en un abrir y cerrar de ojos, según la investigación de EY, el 43.5% de las visitas de atención primaria de Medicare en abril de 2020 fueron a través de telemedicina versus el 1% dos meses antes.
Este cambio digital, sin embargo, vino con riesgos imprevistos. Por ejemplo, los dispositivos conectados han expandido drásticamente la superficie de ataque e introducido nuevos posibles puntos de entrada para los ciberdelincuentes que buscan registros de salud electrónicos (EHRs). CNBC informó recientemente que los EHR se venden por $60 en la web oscura. Compare eso con los detalles del Seguro Social que se venden por $15 y la información crediticia que se vende por $3, y es fácil ver por qué las organizaciones de salud son objetivos populares.
Agregue a esto el hecho de que estas organizaciones enfrentan consecuencias literales de vida o muerte, lo que ha aumentado la probabilidad de grandes pagos de rescate. Esto ayuda a explicar por qué la salud es consistentemente una de las industrias más afectadas cuando se trata de ataques de ransomware.
Incidentes de salud y reclamaciones
Hoy en día, el número de reclamaciones de seguros por incidentes cibernéticos en la salud está en línea con el promedio de la industria. Donde las cosas difieren es con la frecuencia de las reclamaciones de “brecha de proveedor” y “ransomware de terceros”. Para la salud, estas cifras son notablemente más altas, lo que probablemente se deba a los requisitos regulatorios del sector de informar sobre brechas de PHI.
Por ejemplo, si un hospital subcontrata servicios de resonancia magnética a un proveedor externo y ese proveedor experimenta una brecha, el hospital, como la entidad cubierta bajo HIPAA, debe informar a los pacientes afectados, lo que resulta en costos que se presentan como una reclamación cibernética. Dado que el ransomware normalmente implica acceso y robo de datos, las reclamaciones de ransomware de terceros siguen patrones similares.
Tomar acción
Reconociendo su vulnerabilidad al cibercrimen, la industria de la salud continúa priorizando la ciberseguridad. Las áreas en las que las organizaciones deberían centrar sus esfuerzos incluyen:
Higiene cibernética – Si bien la industria habla mucho sobre el aumento de la inversión en soluciones de ciberseguridad, las organizaciones no pueden darse el lujo de pasar por alto la necesidad de mejorar la higiene cibernética y, más específicamente, la formación de los empleados en conciencia cibernética. Para aquellos que se preguntan por qué la formación de los empleados es una prioridad tan alta, consideren esta investigación de Verizon: Según un estudio de 2024 de la Universidad de Stanford y Tessian, el 88% de las brechas de datos son causadas por errores de los empleados.
Una opción común que las empresas pueden aprovechar para ayudar a frenar estos errores es un programa de formación en conciencia de seguridad. Estos programas están diseñados para dar a los profesionales de la salud el conocimiento y las habilidades para identificar y responder a amenazas de ciberseguridad, que pueden incluir desde campañas de phishing hasta ataques de ingeniería social más complejos.
Resiliencia cibernética – Las organizaciones de salud también deben centrarse en la resiliencia. Esto implica invertir en controles de seguridad integrales (autenticación multifactor, detección y respuesta en los puntos finales) y sistemas de respaldo efectivos para minimizar el impacto de un ataque y reducir su dependencia de pagar rescates.
Gestión de riesgos de terceros (TPRM) – La mayoría de las organizaciones de salud trabajan con terceros, y es probable que muchas de estas empresas carezcan de los mismos niveles de inversión en ciberseguridad. La investigación de Security Scorecard informa que la salud tiene el mayor volumen de brechas de terceros que todas las demás industrias. Según la investigación, “el 35% de todas las brechas de datos de salud reportadas ocurrieron en proveedores externos.”
Es por eso que los programas de TPRM son vitales. Un programa sólido no eliminará todos los riesgos, pero ayudará a su organización a evaluar e identificar los riesgos asociados con los proveedores externos para que haya un plan antes de que se produzca una violación de un socio crítico. Comience estableciendo un marco que indique claramente cómo la empresa identifica a terceros y cómo se evalúan, monitorean y gestionan los riesgos. Una vez completado, trabaje con los empleados para asegurarse de que entiendan los muchos riesgos que conlleva trabajar con terceros y los elementos clave incluidos en el plan de TPRM.
A continuación, revise las declaraciones de cada proveedor para evaluar sus inversiones actuales en seguridad y confirmar que son suficientes y cumplen con todas las regulaciones de la industria relevantes. Para asegurarse de que su equipo esté haciendo las preguntas correctas, consulte esta Plantilla de Gestión de Riesgos de la Cadena de Suministro de Proveedores de la Agencia de Ciberseguridad e Infraestructura (CISA). A partir de ahí, asegúrese de tener un plan de respuesta a incidentes en su lugar que incluya un seguro cibernético.
Mirando hacia adelante
Los ataques de ransomware se han vuelto más frecuentes y sofisticados. Como resultado, las organizaciones de salud deben permanecer en guardia, evaluando y avanzando continuamente sus protocolos de seguridad y medidas de resiliencia. El cambio a operaciones digitales y dispositivos interconectados ha mejorado la atención al paciente, pero también ha hecho que la ciberseguridad sea un componente vital de la prestación de atención médica. Para proteger la información del paciente, mantener un servicio continuo y protegerse contra daños financieros y de reputación, las entidades de salud deben equilibrar las defensas inmediatas con estrategias de seguridad proactivas y a largo plazo que se extiendan a los proveedores externos. A través de estos esfuerzos combinados, el sector de la salud puede acercarse a una defensa más sostenible contra las amenazas cibernéticas mientras asegura que cada organización esté preparada para los desafíos continuos que se avecinan.