"El sector sanitario es atractivo a ciberataques por el valor de sus datos"

Cada vez se producen más ciberataques a instituciones sanitarias, un hecho que se debe a que "el sector sanitario es atractivo a ciberataques por el valor de sus datos", según explica el responsable de ciberseguridad del Departament de Salut de la Generalitat de Cataluña, Albert Haro, en una entrevista con Redacción Médica. Haro analiza la exposición del sector sanitario a estos delitos, por qué motivo se ha registrado un alza de los ataques en los últimos años y qué deben hacer las organizaciones para prevenir y protegerse.

¿Son vulnerables las instituciones sanitarias a sufrir ciberataques?

Recibimos multitud de ataques y nos atacan por muchos sitios, pero la mayoría de ellos no prosperan o se quedan en los primeros estadios sin impacto. No es que haya una especial vulnerabilidad, sino que realmente los ataques a todos los sectores están en un momento de explosión. En particular, en el sector sanitario ha habido un incremento más significativo y sus particularidades lo hacen especialmente atractivo y vulnerable.

¿Se están tomando medidas?

Se debe actuar ante esta situación y este volumen de incidencias. Se están tomando medidas tanto a nivel del Govern, del Departament de Salut y de las entidades. Se están tomando medidas para mitigar los riesgos identificados. Se están poniendo recursos para que estos impactos pasen menos a menudo. Pero la realidad es que están pasando y seguirán pasando y tenemos que prepararnos para tener planes de contingencia y poder responder de forma rápida y ágil para minimizar los impactos.

¿Por qué han aumentado los ciberataques a infraestructuras sanitarias en los últimos años?

Por la casuística específica que tiene el sector sanitario. Es un sector donde las tecnologías de la información se han desplegado mucho. Se ha informatizado mucho la asistencia médica y lo hemos visto durante la pandemia, que se han implantado soluciones tecnológicas, a veces, con unas necesidades muy urgentes y de manera muy rápida. Esto ha hecho que la superficie de exposición haya aumentado considerablemente.

El sector sanitario tiene unas particularidades que lo hacen más sensible a un incidente. Los hospitales funcionan a todas horas y no se pueden permitir que un incidente detenga su funcionamiento. Cuando una persona se pone enferma, va al médico y necesita que le atiendan al momento. Esta disponibilidad hace que sea un sector más vulnerable a lo que pueda pasar.

¿Cómo se pueden evitar?

Es muy importante que se prevea que esto puede pasar y que se preparen planes de contingencia y mecanismos para que, si pasa, puedas seguir dando asistencia médica, como pasó con el caso del Consorci Sanitari Integral. Teníamos preparado un plan de contingencia que nos permitió atender a los pacientes y hacer las actividades programadas, con alguna excepción muy puntual.

¿Qué otras medidas se deben tener?

Una de las principales medidas es tener una copia de seguridad que puedas utilizar en caso de accidente y que alguna de tus copias esté desconectada de la red. Hace unos años los ataques eran más chapuceros e indiscriminados, lanzaban virus e intentaban comprometer a los sistemas, pero no había demasiada inteligencia detrás. Ahora los criminales han evolucionado mucho y los ataques son más dirigidos. Roban una credencial, miran de entrar dentro de una organización, se pasean por dentro durante un periodo de tiempo para intentar entender el sistema y, cuando ven que pueden hacer un ataque que paralice la organización, lo lanzan. Por tanto, intentarán inutilizar las copias de seguridad y por eso es muy importante que una copia esté protegida y desconectada de la red.

---

"Los datos sanitarios valen dinero y son muy sensibles"

---

¿Por qué a los atacantes les interesa atacar instituciones sanitarias?

Les interesa porque los datos sanitarios valen dinero y son muy sensibles. Lo hemos visto en el caso del Consorci Sanitari Integral. Había algunos datos sanitarios en los servidores de ficheros que no debían estar ahí, pero estaban y algún dato sanitario salió a la luz. Esto genera mucha repercusión porque son datos sensibles. Los datos sanitarios están especialmente protegidos por la legislación y un escape genera mucho impacto. Por tanto, son entornos que gestionan datos muy sensibles con valor en el mercado negro. Y, a parte, es un sector que si consigues paralizarlo tendrás mucha presión.

¿Cuál es el perfil de los atacantes y qué quieren hacer con las informaciones robadas?

El perfil es diverso. Hay una profesionalización muy alta de lo que es esta tipología de datos. Ha habido una evolución y hay lo que se dice data as a service, o sea, que las organizaciones criminales que se dedican a hacer este tipo de cosas desarrollan paquetes de programas para que un tercero los pueda utilizar. Puede ser que sean entidades criminales que se dedican a hacer esto y hay que tienen unas competencias extremadamente altas. Pero también hay algunos grupos que venden como servicios los data as a service para que un tercero los pueda utilizar.

Hace un tiempo, se dedicaban a hacer un secuestro, paraban la organización y ya. Ahora estamos viendo que hay una evolución para hacer la doble y la triple extorsión. Doble extorsión quiere decir que, además de paralizar tu actividad y pedir un rescate, te amenazan con la filtración de los datos. Y la triple extorsión consiste en que, una vez te han robado los datos, las venden a un tercero para que este pueda utilizarlas. En el caso del Consorci Sanitari Integral hubo una doble extorsión, es decir amenazaron con publicarlas y publicaron lo que tenían, que era un trozo pequeño de lo que había a nivel de datos de los usuarios.

¿Cómo se deben reforzar los hospitales y centros de salud en ciberseguridad?

Minimizar el impacto, tener un plan de contingencia que te permita que, si pasa, puedas seguir trabajando. La segunda, que también puede ser la primera, sería una copia de seguridad. En el caso del Consorci Sanitari Integral tiramos de una copia de dos horas antes.

Debemos ver por dónde entran los atacantes para minimizar el riesgo de que puedan entrar. Normalmente entran por los accesos remotos, que se tienen que tener muy bien segurizados y que cuenten con un doble factor de verificación. Es decir, que te pida una segunda credencial o autorización porque si tan solo tienes la contraseña y te la roban, estás vendido. Otro aspecto importante son los pagados de seguridad, las vulnerabilidades que puedas llegar a tener en tus sistemas, y la obsolescencia de tus sistemas. También que las versiones de tu directorio y servicio de correo estén actualizadas.

Es importante también que les demos herramientas a los trabajadores para que identifiquen las amenazas que les llegan, porque el volumen de correos electrónicos que llegan con fishing y demás es extremadamente alto. Necesitamos ayudarlos a identificar que, que el servicio de administración de correo nunca te pedirá la contraseña. Cada vez nos llegan correos más sofisticados. La sensibilización y la concienciación de los usuarios es fundamental.

---

"Los hospitales deben minimizar el impacto, tener un plan de contingencia y una copia de seguridad desconectada de la red"

---

¿Y cuánto deben invertir?

La Comisión Europea habla de un 10 por ciento de inversión en ciberseguridad respecto a tu inversión en tecnologías de la información. No estamos ahí, pero como objetivo es bueno que identifiquemos que hasta un 10 por ciento de la inversión en tecnologías de la información la deberías dedicar en seguridad.

¿Qué supondrá el desarrollo de la digitalización de la sanidad en el contexto de esta amenaza?

La digitalización en el entorno sanitario es un aspecto que ha venido para quedarse porque ha mejorado los procesos, la eficiencia y la medición y la asistencia sanitaria hacia el ciudadano. Hacer más cosas y tener más digitalización aumenta la superficie de exposición, por tanto, eleva las necesidades de estar más bien protegidos. Es muy importante proteger todos los ámbitos de la digitalización con el concepto de seguridad por diseño, es decir, que tengamos en cuenta la seguridad desde el inicio, que no sea un parche que ponemos al final. La seguridad es un valor para el ciudadano, da confortabilidad, da garantías de que están tratando con cuidado tus datos y te sientes seguro. Debemos ver la seguridad como un aspecto muy positivo y tenerlo presente desde el inicio.

¿Falta cooperación entre los departamentos de ciberseguridad de diversas administraciones y entidades cuando tienen proyectos en común?

La Comisión Europea a través también del Ministerio de Sanidad se asegura que tengamos los sistemas seguros y nos han hecho unas auditorías para verificar que todo está correcto y que son sistemas seguros. Estamos trabajando en la receta electrónica transfronteriza y en el resumen de la historia clínica. En este sentido, la directiva europea insta a uniformizar la manera de identificar los servicios críticos.