"Un hardware sanitario obsoleto es como dejar abierta la puerta de tu casa"

Los sistemas hospitalarios pueden llegar a resultar excesivamente complejos a la hora de instalar un hardware con todas las garantías de seguridad que una red "normal o de una empresa", ya que hay que tener en cuenta diversos puntos a la hora de protegerla y un error "puede salir caro". Así lo explica a Redacción Médica Raúl Núñez, experto en ciberseguridad con contacto en el sector sanitario y que reconoce que descuidar las instalaciones en estos centros llega a desencadenar unas consecuencias arriesgadas.

"El tener un sistema desactualizado en un hospital es como dejar abierta la puerta de tu casa. Esto puede permitir a las organizaciones de ciberdelincuentes o hackers hacerse con una comunicación dentro del centro y que, a partir de ahí, sean capaces de aprovechar esa vulnerabilidad para explotar todos los sistemas que puedan y hacerse con el control del hospital", analiza Núñez, que ejerce en la empresa de ciberseguridad Trend Micro Iberia,  con experiencia en el sector sanitario con algunos de los principales organismos de salud autonómicos y empresas de sanidad privada.

Por ello, quienes se encargan de la instalación de estos hardware sanitarios deben alejarse de las "malas prácticas" y estar "concienciados" de que una instalación de este tipo en un hospital debe seguir el mayor control posible. "Nos hemos encontrado muchas veces que la persona que va a hacer el mantenimiento de ese hardware, hace malas prácticas tales como actualizar el dispositivo con un USB que se trae de casa. Esa persona puede desconocer que ahí tiene un malware y lo pincha en un dispositivo que a su vez está conectado a una red hospitalaria", pone de ejemplo Núñez.

El problema reside en que se pueden tener sistemas obsoletos "con gran número de vulnerabilidades" y las piezas de software "maliciosas" que se encuentran hoy en día buscan, precisamente, esa propagación o una vulnerabilidad dentro de la red que les haga "estar en una máquina interna y a partir de ahí empezar a propagarse y a enviar información hacia fuera".

Instalación de hardware hospitalario con "conciencia"

Una mala praxis puede provocar la caída de un servicio hospitalario. Por ello desde la ciberseguridad insisten en que el primer paso clave es la "concienciación", no solo al personal hospitalario, también al propio integrador que instale el hardware: "Lo primero que tiene que hacer es conocer el problema a la perfección, porque una instalación deficiente en un hospital puede llegar a provocar daños personales".

Un segundo punto importante para garantizar el éxito en el proceso de instalación de un nuevo hardware sanitario con garantías de seguridad es el conocimiento de la arquitectura, el control de comunicaciones y los protocolos a utilizar. "Es muy interesante conocer el entorno donde vamos a hacer la instalación, cuáles son las necesidades", asegura. Un tercer punto en este protocolo de implantación sería la "flexibilidad" y, a la hora de explicar la situación al centro hospitalario "ser lo más flexibles posibles" para adecuarse a las necesidades concretas del hospital.

---

"Una instalación de hardware deficiente en un hospital puede llegar a provocar daños personales"

---

Garantías de seguridad para no poner en riesgo un hospital

Uno de los puntos a tener en cuenta para garantizar la seguridad de instalación de hardware en un hospital es conocer las piezas necesarias que incluye esta implantación. "Cuando alguien instala un dispositivo de electromedicina, no solamente está el dispositivo hardware, va a estar gestionado por un PC o por un sistema operativo remoto. Hay que ver cuáles son las conexiones necesarias para las distintas piezas a gestionar, sobre todo, porque nos hemos encontrado en muchos casos que esta pieza de hardware se gestiona desde sistemas operativos antiguos y obsoletos, que tienen un gran número de vulnerabilidades y que ponen en riesgo la red hospitalaria", concreta.

El siguiente punto clave radica en que el hardware que se va a instalar "suele necesitar una comunicacion a nivel de red", lo que requiere explicar claramente cuáles son las comunicaciones y protocolos utilizados. Además, para  garantizar el éxito, la persona que vaya a instalar ese hardware "tiene que asegurar que no instala ningún software ni ninguna pieza de hardware que no esté completamente actualizada y parcheada". Núñez insiste en que en ocasiones se han dado casos de este tipo, lo que genera un punto de entrada para los hackers "muy sencillo".

Finalmente, se debe adecuar un bastionado a nivel de comunicaciones. "Si el fabricante nos ha explicado bien qué hace esa pieza, el hospital debería únicamente permitir esos protocolos específicos, y no como antiguamente hacía, permitiendo reglas permisivias", recuerda. Núñez no olvida que se deben utilizar productos y soluciones contrastadas. "El mundo informático y de la seguridad cada vez va más rápido y podemos encontrarnos con soluciones de todo tipo que pueden parecer muy innovadoras pero que no están certificadas oficialmente. Esto no te da una garantía al cien por cien, pero al menos sabes que ha pasado un mínimo de requisitos a nivel de seguridad", concluye.