Código rojo en la seguridad de los hospitales

Código rojo en la seguridad de los hospitales

Un ataque cibernético al mundo sanitario puede provocar desde una cancelación de una cita a un diagnóstico erróneo, y eso solo con acceder a la red de un centro sin necesidad de una invasión a gran escala

JOSÉ A. GONZÁLEZMADRID.

El 12 de mayo de 2017, los ciberdelincuentes aprovecharon la vulnerabilidad EternalBlue, desarrollada por la Agencia de Seguridad Nacional estadounidense y filtrada por el grupo The Shadow Brokers, que permite atacar computadores con el sistema operativo Microsoft Windows no actualizados debidamente. En la memoria este ataque ha quedado grabado como Wannacry.

Este 'ransomware', un tipo de virus maligno que encripta información a cambio de dinero, paralizó a todo el mundo. Lo sufrieron usuarios, empresas y también servicios públicos. El más afectado fue el Sistema Nacional de Salud británico (NHS por sus siglas en inglés. El 1% de toda la atención del sistema se interrumpió una semana.

La visión generalizada del 'hacker' es de un joven con sudadera y capucha que busca información o comprometer un sistema para su propio beneficio o su satisfacción. Sin embargo, dista mucho de la realidad. «La ciberdelincuencia mueve ingentes cantidades de dinero», advierte Javier Osuna, director de la división de Consultoría y Servicios de Ciberseguridad.

El ataque obligó a cancelar más de 19.000 citas, lo que costó al NHS 20 millones de libras esterlinas en una semana, una factura a la que hay que sumar otros 72 millones en la posterior limpieza y actualización de todos sus servicios. «Un año después aún no estaban todos parcheados», señala Bosco Espinosa de los Monteros, 'presales manager' para Europa de Kaspersky Lab.

Dos años después toca hacer balance. «La gente está concienciada, pero todavía hay trabajo por hacer», añade Espinosa de los Monteros. La activación de Wannacry llegó por un clic en un 'link' malicioso y desató la infección. «Es necesario también esa concienciación a todos los trabajadores», apunta Marco Lozano, experto en el área de empresas y profesionales de INCIBE, el Instituto Nacional de Ciberseguridad.

La respuesta de los expertos ante la pregunta de un posible ataque a un hospital es unánime: «sí». Pero la concienciación de sus responsables administrativos deja dudas: «Por desgracia, no suele ser una de sus preocupaciones principales, aunque cada vez más existe una mayor concienciación sobre los problemas que pueden ser provocados por un ciberataque», puntualiza Josep Albors, responsable de concienciación de ESET España. «La seguridad no ha cambiado con respecto a años anteriores, no están suficientemente protegidos», añade Eusebio Nieva, director técnico de Check Point en España y Portugal.

Objetivo preferente

El sector sanitario es uno de los más intensivos en inversiones en innovación e I+D, representando más de un 20% de los fondos empleados en innovación en España. Además, casi el 9% del PIB corresponde a las inversiones que el Estado destina a Sanidad. «Estos son los ingredientes esenciales para determinar que es un sector clave para la economía y por lo tanto puede ser un objetivo claro para los 'hackers', especialmente si tenemos en cuenta que la información que se maneja es extremadamente sensible por diferentes motivos», apunta Adolfo Fernández Valmayor, secretario general de la Fundación IDIS.

Hasta la fecha, la gran mayoría de ataques que han recibido los centros hospitalarios han sido generales y no específicos contra sus instalaciones. «El vector de ataque más utilizado es el 'mail'», apunta Arturo Gordo, jefe del Departamento de Seguridad y Sistemas de HM Hospitales. «En estos casos por muchas medidas que adoptemos, dependemos en gran medida del usuario y por eso es importante realizar labores de concienciación y prestar una atención especial en los cursos de personal de nueva incorporación», añade.

Un ataque específico pondría en jaque el buen funcionamiento de las instalaciones y la seguridad de los pacientes. «No es lo mismo comprometer la red wifi para disponer de internet gratis que inutilizar/alterar sistemas, robar o modificar información, o bien los sistemas y aplicaciones encargadas de mantener la habitabilidad de las instalaciones, los dispositivos de los propios empleados, los sistemas de control de almacenamiento de medicamentos», alerta Osuna.

Una vulnerabilidad que es común y «es fundamental haber hecho los deberes con antelación», puntualiza Osuna. Los hospitales tienen que trabajar en cuatro líneas fundamentales: prevenir y proteger, disponer de la capacidad de detección necesaria, establecer los mecanismos de reacción, contención y análisis apropiados, y planificar la recuperación posterior. Adicionalmente, es crítico fortalecer la totalidad de los eslabones de la cadena, señala.

«Se hacen auditorías anuales de nuestros sistemas con empresas externas de seguridad mediante metodologías de caja negra, caja blanca, 'hacking' ético, 'pentesting', etc... y si se detectan vulnerabilidades en los informes que realizan se toman las medidas oportunas para bloquearlas», apostilla Gordo en la misma línea.

En los hospitales públicos «no existe un plan director, al menos que yo conozca», destaca Lozano. Una protección básica «pasa por tener los sistemas informáticos lo más actualizados posible, contar con soluciones de seguridad modernas y actualizadas y segmentar las redes para evitar que una amenaza se propague por sistemas críticos del hospital», sentencia Josep Albors, responsable de concienciación de ESET España.

Más