CONFIANZA

Surgen más amenazas cibernéticas en el área de la salud - ¿es un efecto secundario de la pandemia? 4 razones explican el por qué

16 de marzo de 2021 | Por DOROTHY POMERANTZ

En medio de una pandemia, lo último que quiere hacer cualquier hospital es complicar aún más la vida de su personal y sus pacientes. Sin embargo, eso es exactamente lo que ocurrió en Francia el mes pasado, cuando dos hospitales distintos sufrieron ataques de ransomware que les obligaron a cortar el servicio de internet. Uno de ellos se vio forzado a posponer operaciones de los pacientes y a redirigir la atención de urgencias; el otro tuvo que recurrir a hacer en papel sus cuadros, historiales y registros de citas.

Este tipo de ataques ha sido un problema creciente para la industria de la salud y sucedió con más frecuencia durante la pandemia. En 2020, las violaciones de datos personales sobre la atención médica aumentaron un 25% en los Estados Unidos con respecto al año anterior. Estas son algunas de las razones:

  1. Ahora los datos médicos están en todas partes. En la última década, el sector se ha digitalizado, lo que significa que ahora hay datos electrónicos sobre casi todos los aspectos de la salud - desde la presión arterial de un individuo hasta la investigación global de vacunas - y en muchos tipos de dispositivos conectados. Los datos pasan de las consultas médicas a las farmacias, al paciente y a las compañías de seguros. Si bien esta facilidad de comunicación es una bendición para pacientes y médicos, también crea posibles puntos débiles que los piratas informáticos pueden aprovechar.

“Hay muchos vacíos en materia de seguridad”, dice Beth Griffin, quien dirige los esfuerzos de inteligencia y cibernética en el sector salud para Mastercard. “Puede haber algunas deficiencias en la forma en que se almacenan los datos. Las personas que acceden a su información médica utilizando teléfonos  móviles son vulnerables. También puede haber carencias en las relaciones con los proveedores”.

  1. Los ataques de ransomware pueden ser lucrativos. Los ataques de ransomware, en los que los delincuentes cibernéticos toman como rehén a todo el sistema informático de un hospital, pueden paralizar la atención médica. Los retrasos en el envío y la recepción de información pueden significar la diferencia entre la vida y la muerte. Con la salud de las personas en juego, las organizaciones se ven obligadas a pagar rápidamente.
  2. Las estafas en el sector de la salud evolucionan constantemente, alimentando la necesidad de más datos. Los historiales médicos vulnerados, incluyendo credenciales y expedientes médicos robados, están cada vez más disponibles en la web oscura (dark web). Ahí es donde los historiales médicos pueden ser 50 veces más valiosos que la información de las tarjetas de pago. Los delincuentes pueden utilizarlos para crear negocios médicos fraudulentos o presentar falsos reclamos ante las compañías de seguros. Los conjuntos de datos robados pueden incluir información de identificación personal de los pacientes y sus relaciones con sus proveedores de atención médica, la que podría aprovecharse para estafas de phishing o
  3. Las organizaciones de la salud, sobrecargadas de trabajo, están poco preparadas para los ataques cibernéticos. El mundo financiero se ha adaptado a la lucha contra el fraude, deteniendo un cargo potencialmente falso tan pronto se produce. Sin embargo, el sector de la salud sigue adaptándose a los nuevos niveles de digitalización. Los sistemas hospitalarios también están tratando de operar durante la pandemia de COVID-19 con personal sobrecargado de trabajo y con muchos administradores trabajando desde casa. Por ejemplo, pueden ser presa fácil de un ataque de phishing cuando alguien abre un correo electrónico que parece auténtico y, sin saberlo, descarga un malware que puede infectar a toda la empresa. “La pandemia está exigiendo mucho del personal, lo que hace que preste menos atención a los detalles”, dice

Todos estos puntos de contacto digitales implican que las organizaciones de la salud supervisen e implementen continuamente medidas de seguridad en cada paso para diagnosticar posibles puntos débiles.

Mantener la seguridad de los datos de los pacientes y garantizar que no se interrumpa la atención médica es esencial para cualquier organización del sector salud. Al igual que la protección de un hogar, se deben tener en cuenta todas las formas en que los delincuentes cibernéticos podrían vulnerar sus defensas.

  • Arreglar puertas y ventanas rotas.
  • Utilizar cerrojos de seguridad y cerraduras en las perillas de las puertas
  • Evaluar a los proveedores de servicios
  • No dejar entrar a extraños
  • Gestión de parches
  • Seguridad en la web
  • Gestión de riesgos de terceros
  • Concientización y formación cibernética

Una de las mayores preocupaciones son los proveedores externos que tienen acceso a datos y sistemas esenciales para ayudar a mantener sus organizaciones en funcionamiento. Aunque esto es fundamental, también crea lo que se conoce como “riesgo de terceros”, en el que los datos del hospital o del consultorio médico pueden quedar expuestos si esos proveedores de la cadena de suministro son atacados. Las organizaciones deben pensar constantemente en el impacto que la falla de un proveedor podría tener en sus operaciones.

Por eso, al comienzo de la pandemia, RiskRecon, una compañía de Mastercard, ofreció acceso gratuito a sus servicios a las organizaciones de la salud hasta finales de 2020, ayudándolas a evaluar su huella digital e identificar sus puntos débiles, creando un mapa de riesgos latentes en posibles vulnerabilidades. RiskRecon también fue seleccionada recientemente como la primera embajadora mundial del Centro de Análisis e Intercambio de Información Médica (Health Information Sharing and Analysis Center- Health-ISAC), un foro sin fines lucro para que las empresas del sector salud colaboren en materia de seguridad cibernética.

Para hacer frente a estos retos de la seguridad cibernética - desde el ransomware hasta el fraude, pasando por las complejas cadenas de suministro - es más importante que nunca adelantarse a las amenazas. Herramientas como RiskRecon y el intercambio de información a través de Health-ISAC son solo algunas de las formas en que una organización puede mejorar su postura en cuanto a la seguridad.

“Las amenazas cibernéticas a las que se enfrenta el sector de la salud son un reto y, como parte de cualquier programa de gestión de riesgos, deben abordarse mediante una planificación estratégica y una inversión meditada”, afirma Errol Weiss, director de Seguridad de Health-ISAC. “Es literalmente el equivalente a gastar miles ahora para prevenir algo que es evitable o pagar millones más tarde para recuperarse de una catástrofe”.

Llamémoslo medicina preventiva.

“Cuantos más datos podamos compartir sobre el cambiante panorama cibernético, y cuanto más procesables sean, mejor preparados estaremos todos para adelantarnos a los delincuentes”, afirma Simon Hunt, vicepresidente ejecutivo de Seguridad e Innovación Cibernética de Mastercard. “Puede que estemos viendo el final de la pandemia, pero la necesidad de salvaguardar y proteger a los pacientes, al personal y a los sistemas nunca terminará”.

Dorothy Pomerantz, colaboradora