Cada año, los investigadores en ciberseguridad descubren más vulnerabilidades y exposiciones comunes (CVEs) que tipos de resfriado común. Para dar contexto, hay unos 200 tipos de resfriado, pero en 2024 se identificaron más de 40.000 CVEs.
Al igual que los virus mutan para evadir el sistema inmunológico, los actores de amenazas desarrollan constantemente nuevos exploits para aprovechar vulnerabilidades. Lamentablemente, estos se convierten en ransomware o amenazas persistentes avanzadas (APTs), o bien se empaquetan como kits de explotación y se venden en rincones ocultos de la dark web.
Un año después de la brecha en Change Healthcare, las organizaciones son conscientes del impacto de estas amenazas. Según un informe de Bain & Company y KLAS Research, el 70% de proveedores y aseguradoras se vieron afectados, lo cual perjudicó la atención al paciente.
El desafío radica en diagnosticar el riesgo en sistemas de salud complejos. Las redes de TI y OT están conectadas de formas no previstas por sus diseñadores. Aunque se detectan vulnerabilidades en dispositivos médicos y software, muchos sistemas obsoletos no pueden protegerse adecuadamente.
La regulación tampoco escapa a estos problemas. Por ejemplo, los cambios propuestos al HIPAA podrían exigir inventarios de activos, análisis de riesgos y escaneos de vulnerabilidades, retos que ya enfrentan los equipos de ciberseguridad.
Las organizaciones deben adoptar un enfoque proactivo para identificar, priorizar y mitigar amenazas en tiempo real. Esto implica tener visibilidad y control sobre todos los activos físicos y virtuales. Como dicen los médicos: «Más vale prevenir que curar».
—
Las redes sanitarias son tan complejas como el sistema nervioso humano
La superficie de ataque incluye activos empresariales, sistemas de atención al paciente y sistemas de gestión de edificios (como HVAC), a menudo distribuidos en múltiples instalaciones o incluso en la nube. La diversidad de dispositivos y sistemas agrava el problema.
Dispositivos médicos, historias clínicas electrónicas (EHR) y otros sistemas críticos suelen ser desarrollados por distintos proveedores, cada uno con sus protocolos y ciclos de actualización. Esta fragmentación dificulta la implementación de estrategias de protección coherentes.
Los dispositivos obsoletos, carentes de funciones de ciberseguridad modernas, son especialmente riesgosos, ya que no se pueden parchear fácilmente. Incluso cuando hay soluciones, los proveedores temen que su implementación cause interrupciones en la atención.
Los riesgos de terceros, como bibliotecas de software vulnerables, y la falta de visibilidad sobre activos críticos complican aún más el panorama. En resumen: muchas organizaciones no logran ver, proteger ni gestionar todos los activos en su red.
—
Bajo la lupa: vulnerabilidades en sistemas de salud
Un ejemplo es la vulnerabilidad en Mirth Connect de NextGen Healthcare, que permite la ejecución remota de código. Al ser una plataforma de integración de datos para EHR y dispositivos médicos, este fallo probablemente afecte a numerosas instituciones.
Estos sistemas acumulan deuda técnica porque los SO obsoletos no reciben actualizaciones. De hecho, este fallo se descubrió tras un parche incompleto de una vulnerabilidad anterior. Es probable que servidores de imágenes médicas con software obsoleto sigan expuestos, además de ser difíciles de monitorizar. Todo esto los convierte en blancos atractivos para kits de explotación en la dark web.
Los equipos de ciberseguridad deben priorizar la actualización de Mirth Connect, aislar sistemas afectados con segmentación de red y monitorizar tráfico sospechoso. Pero, fundamentalmente, se require un enfoque más proactivo para gestionar toda la superficie de ataque.
—
Higiene de ciberseguridad: una rutina esencial
Al igual que lavarse las manos previene enfermedades, hay prácticas básicas que reducen el impacto de un ciberataque. Y así como los desafíos de cumplimiento reflejan los de ciberseguridad, estos fundamentos también ayudan a cumplir normativas.
El primer paso es la visibilidad: crear un inventario exhaustivo de activos, incluyendo dispositivos desconocidos o no gestionados. Las actualizaciones propuestas al HIPAA podrían exigir mapear el flujo de información electrónica de salud (ePHI), siendo un buen punto de partida.
Monitorizar dispositivos permite priorizar y remediar vulnerabilidades de manera eficiente, evitando el colapso por millones de alertas. La evaluación continua de riesgos, históricamente basada en «fotos estáticas», ahora debe ser dinámica.
También es útil combinar la monitorización con alertas tempranas de vulnerabilidades emergentes. Por ejemplo, detectar indicadores de compromiso específicos, como APTs que explotan ciertos CVEs.
Organizaciones como HS-ISAC facilitan el intercambio de información entre entidades sanitarias. Soluciones avanzadas, como honeypots inteligentes o monitorización de la dark web, identifican amenazas o kits de explotación con indicadores precisos.
La buena noticia es que proveedores y aseguradoras están aumentando su gasto en TI, invirtiendo en auditorías y reduciendo puntos únicos de fallo. Esto no solo fortalece la ciberseguridad, sino que anticipa futuros requisitos del HIPAA.
—
Foto: anyaberkut, Getty Images
Mohammad Waqas es Director de Tecnología (CTO) para el sector Salud en Armis. Con más de una década de experiencia en ciberseguridad médica, ayuda a organizaciones globales a proteger dispositivos y alinear soluciones con casos de uso específicos.
Este artículo forma parte del programa MedCity Influencers. Descubra cómo publicar su perspectiva.
(Nota: Incluso → Incluso [error intencional]).