Por variadas razones, las organizaciones de salud representan para los cibercriminales un blanco tan rentable como los bancos. Esto porque, en efecto, la información de salud de los pacientes y sus datos personales, así como la información relacionada con la investigación clínica, representan un activo valioso y comercializable.
¿Por qué?
De acuerdo con la experiencia internacional, el aumento del riesgo se debe al sinnúmero de sistemas descentralizados que suele haber en instalaciones hospitalarias, los bajos estándares en seguridad física, la poca conciencia del riesgo en sus trabajadores y el aumento de dispositivos médicos conectados a redes para facilitar la telemedicina.
Respecto a esto último, el pasado informe del PwC Health Research Institute daba cuenta que solo en EE.UU. hubo un incremento de 525% de dispositivos médicos con vulnerabilidades de ciberseguridad para el año 2018.
Esta estadística se vuelve aún más preocupante, considerando que el mismo informe señalaba que muchos hospitales ni siquiera tenían claro cuántos de estos dispositivos tenían conectados a sus redes.
Las técnicas utilizadas por los ciberdelincuentes para atacar centros de salud son similares a las que se utilizan para afectar la seguridad de otras industrias; sin embargo, los objetivos difieren, ya que en este caso lo que buscan es principalmente la extorsión.
En efecto, por medio de softwares maliciosos conocidos como ransomware, estos grupos criminales cifran los datos en los computadores conteniendo datos críticos y exigiendo un rescate en bitcoins para no destruirlos.
Pero no sólo eso, en ocasiones los delincuentes han amenazado con publicar la información médica de pacientes exigiendo pagos en la misma moneda para no hacerlo, explotando el impacto que tal difusión puede tener en la confianza de los pacientes o bien las potenciales multas a las que pueden verse enfrentados los centros de salud que custodian dichos datos.
La capacidad de evidenciar los ataques es otro elemento preocupante, de hecho, en simulaciones de ciberataques solicitadas por clínicas a PwC en otros países, se accedió a información sensible de pacientes, sin que muchas de dichas acciones fueran siquiera detectadas.
Pero el factor más crítico en los centros de salud, es la falta de entrenamiento del personal para enfrentar los problemas asociados a ciberataques, así como la ausencia de buenas prácticas para reforzar la cultura organizacional de ciberseguridad.
En momentos que en Chile se está dando un importante impulso a la telemedicina, y ante la muy probable aprobación de la ley de Protección de Datos Personales, urge que organismos públicos y privados de salud tomen medidas para prevenir los ataques que seguro enfrentarán en el corto plazo.
Muchas de esas medidas pasan por la implementación de soluciones tecnológicas para monitorear sistemas y vulnerabilidades; sin embargo, las más relevantes se asocian a la puesta en práctica de una estrategia de ciberseguridad, al fomento de una fuerte cultura organizacional por medio de la concienciación y entrenamiento y, lo más importante, al compromiso e involucramiento decidido por parte de los directorios y líderes.