La industria de la salud se encuentra entre los principales objetivos de los ciberdelincuentes debido al manejo de grandes cantidades de datos confidenciales de pacientes y por la importancia central de sus operaciones.
El sector ha estado adoptando rápidamente tecnologías digitales como los registros médicos electrónicos (EHR), la telemedicina y los dispositivos de Internet de las cosas (IoT), lo que proporciona grandes beneficios, pero a la vez, más puntos de entrada para el ciberdelito. La naturaleza interconectada de estos sistemas significa que una brecha de seguridad en una parte de la red puede potencialmente comprometer toda la infraestructura sanitaria.
El COVID-19 a su vez, tuvo un impacto significativo en el crecimiento de brechas de ciberseguridad en el sector, básicamente porque la industria se vio obligada a adoptar rápidamente nuevas tecnologías para permitir la atención médica remota y la telemedicina. Toda esta implementación veloz, a menudo se realizó sin suficientes medidas de seguridad cibernética, lo que dejó a las organizaciones de salud vulnerables a ataques.
En 2023, por decimotercer año consecutivo, la industria de la salud informó las violaciones de datos más costosas, con un costo promedio de 10,93 millones de dólares, que es casi el doble que la industria financiera, según señala el World Economic Forum.
A nivel mundial, el sector ha experimentado un aumento interanual del ciberdelito del 30%, mientras que 1 de cada 44 organizaciones ha sufrido ataques de ransomware en el segundo trimestre de 2023. El sector de salud es el segundo más afectado por este tipo de ataques, con 1 de cada 27 organizaciones, lo que representa un aumento interanual del 16%.
Puntualmente, los ciberataques a las instituciones de salud en América Latina han ido en aumento. Según el Panorama de Amenazas de Kaspersky la industria está entre las más atacadas con un 5.28% de los intentos totales de ataque con técnicas como phishing, ransomware y ataques de denegación de servicio.
El mayor riesgo cibernético al que el sector se está enfrentando no es sólo el robo, secuestro o pérdida de los datos como tal, sino la alteración en la operación del sistema como objetivo principal. En el caso de hospitales, clínicas o instituciones de salud, puede tener graves consecuencias en la atención sanitaria.
En este sentido, entre los casos más resonantes se encontraron dos ataques cibernéticos ocurridos en 2022 a la página web del Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima) en Colombia, lo que produjo la no disponibilidad de información y aplicativos externos al instituto.
Vale destacar que la actividad de grupos de ransomware en América Latina se incrementó en 2023 con una inclinación hacia el sector salud entre sus objetivos preferidos. Entre los casos que se dieron a conocer se encuentra el ataque informático a plataformas públicas en Costa Rica que provocó convulsiones en la red ampliada de hospitales y clínicas. El grupo de ciberdelincuencia Rhysida, ha ganado notoriedad rápidamente por sus ataques con ransomware a gran escala. Dirigidos a objetivos en Latinoamérica y más allá, este grupo ha afectado a 17 hospitales y 166 clínicas, entre ellos, el ataque al PAMI (Instituto Nacional de Servicios Sociales para Jubilados y Pensionados de Argentina) que interrumpió servicios vitales, afectando la atención médica y la tramitación de medicamentos y tratamientos.
La región, bajo la lupa
Según el informe “Ciberseguridad en el sector salud en América Latina y el Caribe” publicado por el Banco Interamericano de Desarrollo (BID) en 2020, los países de la región presentan un nivel medio-bajo de madurez en ciberseguridad, con una puntuación promedio de 47 sobre 100. El informe destaca que los principales desafíos son: la falta de conciencia, capacitación y cultura en ciberseguridad, la escasez de recursos humanos especializados, la ausencia o insuficiencia de normativas y estándares y la vulnerabilidad de las infraestructuras y sistemas informáticos.
Respecto de este último punto, los ciberataques tienen cada vez más la mira puesta en la salud por diversas razones. Por un lado, las instituciones médicas a menudo utilizan una combinación de tecnologías nuevas y antiguas, lo que puede resultar en vulnerabilidades no resueltas. Por otro, la creciente incorporación de soluciones basadas en la nube en el sector, el aumento de dispositivos y teléfonos inteligentes conectados y la adopción de la tecnología 5G e IoT, son factores que aumentan la incidencia de estos ataques. Además, el sector no está exento de cómo los ciberdelincuentes utilizan la Inteligencia Artificial para eludir los controles, automatizar y acelerar sus ataques con mayor precisión y alcance.
La apuesta por la resiliencia
Garantizar la resiliencia cibernética es esencial para mantener la continuidad de las operaciones médicas y mantener a salvo su reputación. El problema reside en que a la par de su transformación digital, el sector sanitario debe emprender una estrategia de ciberseguridad que les permita anticipar y evitar los riesgos de ciberataques.
Una parte esencial del desarrollo de una estrategia de ciberseguridad es la identificación y clasificación de información sensible. En segundo lugar, el paradigma que debería prevalecer en la industria es el modelo Zero Trust y los enfoques preventivos, como la autenticación multifactorial, contraseñas seguras y copias de seguridad de datos. También es necesario el incremento de la concienciación y capacitación en ciberseguridad, tanto para los usuarios como para los proveedores de servicios de salud.
Por otra parte, es necesaria la actualización y modernización de las infraestructuras y sistemas informáticos, con el fin de garantizar su disponibilidad, integridad y confidencialidad, así como interoperabilidad y compatibilidad con los estándares internacionales. Finalmente, la incorporación de tecnologías emergentes como la IA, blockchain y la computación en la nube, que ofrecen beneficios para mejorar la calidad, eficiencia y seguridad de los sistemas.
Vale destacar que a pesar del escenario adverso, el foco en la ciberseguridad aún no está prevaleciendo en la industria de la salud quienes privilegian -por lógica- los temas médicos.
Dada la importancia, la escala y la interconexión de la industria de la salud, está claro que ninguna organización o entidad gubernamental puede abordar por sí sola la cuestión de la ciberseguridad. Un enfoque colaborativo y sistémico dentro del ecosistema es clave: la mayoría de las organizaciones de salud y los hospitales a nivel mundial carecen de la infraestructura de TI y los profesionales necesarios para establecer un área interna de ciberseguridad, por lo que es central la búsqueda de sólidos socios estratégicos que sean capaces de diseñar las estrategias de seguridad digital más robustas y eficaces frente al alarmante panorama para el sector.