Millones de datos de pacientes, en riesgo por los agujeros de seguridad informática

Según la Oficina de Derechos Civiles de EE.UU., en 2015 se produjeron unos 253 agujeros de seguridad informática en el sector sanitario que afectaron a más de 500 personas con el robo de más de 112 millones de registros.

Según la Oficina de Derechos Civiles de EE.UU., en 2015 se produjeron unos 253 agujeros de seguridad informática en el sector sanitario que afectaron a más de 500 personas con el robo de más de 112 millones de registros. IBM asegura por su parte que fue la industria más atacada.

«Los datos sanitarios son más caros en el mercado negro que los bancarios», explica Luis Corrons, director técnico de PandaLabs, el laboratorio anti-malware de Panda Security, empresa española especializada en la creación de soluciones de seguridad informática. Para el experto, esta industria se sitúa en la tercera posición en cuanto a los principales cibertaques que se realizan: «En primer lugar estarían los robos de datos bancarios y, en segundo, el robo de credenciales de emails, redes sociales, etc.». Sin embargo, este ranking puede variar con el paso de los años si nadie lo remedia porque la ciberdelincuencia avanza a pasos agigantados. De hecho, el robo de este tipo de información, según Ponemon Institute, una organización americana sobre privacidad, protección de datos y política de seguridad de la información, se ha incrementado en un 125% en los últimos cinco años.

El problema en concreto del sector sanitario es que cuenta con un sistema de seguridad que se ha quedado obsoleto. Máquinas de rayos X o escáneres, marcapasos y bombas de insulina, entre otros, son muy fáciles de «hackear». De hecho, hay ecógrafos que, en la actualidad, funcionan con Windows 95 y similares. Así, la brecha de seguridad está garantizada y un aparato tan inofensivo se convierte en la perfecta puerta de entrada de acceso a toda la red informática de un hospital.

Ataques muy lucrativos

Junto al robo de este tipo de información, están los ataques de «ransomware», es decir, cuando un cibercriminal instala un programa malicioso que infecta el equipo, lo bloquea y pide un rescate para recuperar el control. Este tipo de acción ha demostrado ser capaz de paralizar la actividad de un hospital, de robar miles de registros y de utilizar la información sensible como rehén de cobro.

En este sentido, cabe recordar el ataque «ransomware» que sufrió a principios de este año el Hollywood Presbyterian Medical Center de Los Ángeles. Tal fue la situación que el centro declaró una «emergencia interna» y dejó a sus empleados sin acceso a los historiales médicos de sus pacientes, al correo electrónico y otros sistemas. Los «hackers» exigían un rescate de 3,7 millones de dólares, aunque el director del hospital llegó a un acuerdo y finalmente pagó unos 17.000 dólares para poder recuperar los ficheros secuestrados.

«El pago del rescate nunca garantiza que puedas recuperar la información», recuerda Corrons. «Al final, estás tratando con delincuentes», puntualiza. Así le sucedió al Kansas Heart Hospital en mayo de 2016 que, tras sufrir un ataque de «ransomware», los responsables optaron por pagar el rescate. Sin embargo, los ciberdelincuentes, que comenzaron a descifrar la información, justo antes de finalizar,exigieron un segundo pago para devolver el resto de los datos. Algo a lo que el centro se negó.

«Estos son los asaltos más actuales pero los ataques sanitarios no han hecho más que evolucionar. En 2008, la University of Utah Hospitals & Clinics anunció que sufrió el robo de los datos de 2,2 millones de pacientes que estaban en cintas», recuerda el experto.

Conviene reseñar que no solo EE.UU. es víctima de ataques. Como explica Rosa Díaz, directora de Panda Security, la ley estadounidense obliga a organismos y empresas a publicar los ciberataques de los que son víctimas tras haber sufrido brechas de seguridad con el objetivo de informar y atender al usuario. Una legislación de la que España carece de momento.

El papel del IoT

El panorama se complica aún más con el Internet de las Cosas (IoT), es decir, la interconexión entre todos los aparatos que nos rodean. «No hay que olvidar que todo dispositivo conectado a internet es susceptible de ser atacado y, en el caso sanitario, pueden atentar directamente con nuestra vida ‘hackeando’, por ejemplo, la dosis que dispensa una bomba de medicación», indica Luis Corrons.

La empresas y organismos públicos deben concienciarse de la necesidad de protegerse de estos ataques. «Nosotros nos enfocamos en hacer nuestras vidas digitales más seguras y sin riesgos», señala Rosa Díaz. De hecho, según un análisis de Gartner, las compañías se gastaron en 2015 más de 75.000 millones de dólares en ciberseguridad, lo que supone un incremento del 4,7% respecto a 2014.

La directiva reconoce que cuesta «concienciar» a las compañías de la necesidad de invertir en esta materia pero recuerda cómo la experiencia demuestra cada día que «toca implementar un nuevo modelo de seguridad porque un antivirus solo es, a día de hoy, insuficiente». Por esta razón, Panda Security cuenta con Adaptive Defense 360, un sistema de ciberseguridad avanzado que proporciona todo lo que una empresa necesita para defenderse y cerrar las puertas a las vulnerabilidades tan evidentes como las del sector sanitario. El Gobierno de Navarra, por ejemplo, cuenta ya con él.