La lista de ciberataques es cada vez más larga: primero ocurrió en el Hospital Universitario Central de Asturias (HUCA), luego en los hospitales catalanes Moisès Broggi de Sant Joan Despí (Barcelona), Dos de Maig (Barcelona) y Creu Roja de L’Hospitalet de Llobregat (Barcelona), incluyendo otros centros adscritos a este consorcio y, por último, el Hospital Clínic de Barcelona. En España, más de 500 instituciones de este sector han notificado incidentes o reportes de vulnerabilidad en 2022, un 48 % más con respecto al año anterior según INCIBE. De hecho, el 89% de las organizaciones sanitarias ha sufrido una media de 43 ataques en el último año, casi uno cada semana.
Las principales razones son fáciles de adivinar: los centros sanitarios no pueden detener sus actividades y sufren las consecuencias de años de escasa inversión en seguridad informática.
Además de tener un alto riesgo de ciberataques e infracciones, los hospitales también tienen poca capacidad de respuesta. En consecuencia, son objetivos prioritarios para las organizaciones delictivas que quieren ganar dinero, robar datos y no se preocupan por el impacto directo de sus acciones. Un impacto que, en estos casos, también puede provocar la pérdida de vidas humanas.
Entonces, ¿cómo podemos protegernos? Hay muchas posibilidades, empezando por una mayor concienciación del sector sanitario y, en particular, de los dirigentes de los hospitales, incluidos los médicos, de que el sistema informático no es sólo un problema del departamento de informática, sino que debe afectar a toda la organización.
Reforzar los controles y la vigilancia operativa
En primer lugar, conviene establecer normas sencillas pero eficaces para defenderse de los ciberataques. Se trata de asegurar los puestos de trabajo y los servidores, reforzar los controles de acceso, gestionar las entradas y salidas e implantar una vigilancia operativa para detectar a los atacantes antes de que penetren en el sistema de información.
La dificultad para las organizaciones sanitarias estriba principalmente en su tamaño, que se traduce en departamentos de TI a menudo muy reducidos, y en presupuestos muy limitados; los recortes presupuestarios en el sector sanitario no ayudan. La respuesta pasa probablemente por una mayor puesta en común de los recursos, la adquisición de soluciones más integradas y eficaces, y la opción de confiar en proveedores de servicios que ofrezcan un servicio llave en mano a tarifas adecuadas para este segmento.
Con enormes cantidades de datos sanitarios trasladándose a la nube, los equipos de seguridad de las instalaciones han permanecido en un modo reactivo, intentando identificar nuevas vulnerabilidades y bloquear nuevas amenazas, en lugar de permanecer proactivos para evitar la propagación de posibles ataques. Según un estudio de ESG, las soluciones de detección y respuesta de red (NDR) pueden ayudar a las organizaciones a lograr una mayor seguridad y resistencia. La importancia de los proveedores de servicios a la hora de sacar el máximo partido a estas tecnologías es crucial. Gartner predice que más del 50% de las organizaciones recurrirán a servicios gestionados (MDR) en 2025. Además el NDR tiene la capacidad de detectar amenazas en entornos donde no se puede instalar software de seguridad, como sucede en los sistemas médicos que están conectados a la red y que pueden ser muy críticos para la vida de los pacientes.
Los riesgos de los ciberataques
En ausencia de inversiones suficientes en ciberseguridad, el riesgo es bastante obvio y está relacionado con los peligros para la salud directamente vinculados a estos ataques: en caso de interrupción de la asistencia, es de esperar que las familias de los pacientes culpen a las instituciones sanitarias, alegando que el fallo podría haberse evitado si los hospitales hubieran realizado las inversiones necesarias en ciberseguridad.
De hecho, el nivel de seguridad de los hospitales en general no parece estar a la altura de la amenaza actual y requeriría una inversión sustancial, unida a una reflexión sobre el reparto de recursos. Ésta es probablemente la única manera de alcanzar una masa crítica y asegurar los servicios a un coste aceptable. Por otra parte, como han demostrado incidentes recientes, los atacantes están acumulando bases de datos personales y médicas, aunque actualmente estén cifradas, con el fin de monetizarlas o utilizarlas posteriormente.
Los hospitales se encuentran en una situación de emergencia y saturación de riesgos sin una transformación de su modelo operativo y sus herramientas. En el frente de la ciberseguridad, es necesaria una respuesta inmediata para asegurar los procesos de gestión de datos y equilibrar la protección informática con la eficiencia del sistema sanitario.