Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ciberseguridad en el sector salud: características, amenazas y recomendaciones

Fecha de publicación 25/01/2024
Autor
Juan Díez González
Ciberseguridad en el sector salud

Según el estudio (ENISA: TL2023), con datos de junio 2022 a julio 2023, se observa que el sector salud es uno de los más afectados, registrando el 8% de los incidentes de ciberseguridad por detrás de administración públicas (19%), pero por delante del resto de sectores como banca (6%), transporte (6%) o energía (4%).

Características del sector

Se viene observando que, finalizados los meses duros de la pandemia, los ciberdelincuentes se están centrando en este sector motivado, principalmente, porque les proporciona un beneficio económico importante debido a 4 particularidades concretas de este sector:

  •  Alta criticidad de los servicios, principalmente los asistenciales. Cualquier parada de servicio, aunque sea temporal o momentánea, puede suponer un fuerte prejuicio en la asistencia a pacientes, incluso con consecuencias vitales, lo cual crea una fuerte alarma social y daño reputacional por lo que los responsables sanitarios están potencialmente dispuestos a ceder a posibles chantajes y pagar por recuperar “la normalidad”.
  • Alto valor de los datos que gestionan. Los datos de salud tienen un alto valor en el mercado negro. El precio de una historia clínica puede variar de 30$ hasta los 1.000$ en casos específicos, mientras que comparativamente el valor de una tarjeta de crédito ronda entre 1 y 6$ de media (fuente Kaspersky).
  • Heterogeneidad e hiperconectividad de sistemas y dispositivos. La transformación digital en el sector salud, favorecida por aumentos de inversión motivados por la situación vivida durante la pandemia, así como aparición de fondos europeos de financiación a este sector, han permitido incorporar gran cantidad de tecnología que ayuda en el diagnóstico, tratamiento y seguimiento de los pacientes, haciendo la vida más fácil a los profesionales de la salud. Se han incorporado nuevos dispositivos en infraestructuras asistenciales; pero, también, se cuenta con dispositivos que se lleva el paciente a casa y permite al profesional realizar un seguimiento de su evolución. Nuevos sistemas, a su vez, conviven con sistemas más antiguos, incluso legados, aumentando así la gestión de su operación y mantenimiento.
  • Aumento del volumen y flujos de datos entre sistemas. No solo se ha incrementado el volumen y la heterogeneidad de datos que se generan, transmiten y procesan, sino que se interconectan entre sí, dentro y fuera de la propia organización. Toda esta complejidad requiere de mucho más esfuerzo para mantener actualizada y segura toda la infraestructura tecnológica y su información de forma constante, ampliando el perímetro de ataque para los cibercriminales.

Principales amenazas del sector

En base a estudios de referencia publicados (ENISA: TLHS2023), se identifica que los vectores de ataque, o puertas de entrada más frecuentes en el sector de la salud son:

  • Mala configuración de seguridad (68%).
  • Insiders / errores humanos en la operación (16%).
  • Ingeniería social / phishing (4%) como vector de entrada para intrusión y robo de datos.
  • Siendo también relevantes ataques en la cadena de suministro, motivadas por vulnerabilidades no parcheadas de software o hardware, así como la descarga e instalación de malware o programas maliciosos dentro de la infraestructura tecnológica.

En cuanto a los tipos de ataque más frecuentes en el sector sanitario se encuentran:

  • El ransomware con un 54% de los incidentes registrados, siendo además el tipo de ataque de mayor impacto, y que en el 43% de los casos, además de la disrupción de los servicios, implica robo de datos.
    • Las familias de ransomware más utilizadas son: Lockbit, Vice Society y LV group, BackCat/ALPHV.
  • Robo de datos presente en un 46%.
  • Ataques de intrusión en un 13% de los incidentes registrados.

En cuanto a la motivación de los ciberdelincuentes:

  • Ciberdelincuencia organizada (60%) y con una motivación económica (83%) de los incidentes registrados.

En cuanto a la tipología de víctimas de los ataques:

  • Centros asistenciales (53%), y específicamente hospitales (42%).
  • Autoridades públicas de salud (14%).
  • Industria farmacéutica (9%).
  • Atención primaria (4,5%)

Por último, en relación al objetivo o tipos de activos víctima de los ataques:

  • Sobresalen los datos médicos del paciente, incluyendo historias clínicas electrónicas, resultados de laboratorio, así como datos demográficos y administrativos en un 30% que permiten a los ciberdelincuentes realizar suplantación, fraude o extorsión al centro o al paciente.
  • Datos de infraestructura TIC en un 28%.
  • Datos corporativos con un 15% de los incidentes registrados.

Recomendaciones de ciberseguridad

Para aquellas entidades que cuentan ya con un plan director o estrategia de ciberseguridad implantada basada en un enfoque de análisis de riesgos, la recomendación pasa en primer lugar por acomodar la creciente adopción de tecnología médica y flujo de datos sanitarios de acuerdo a dicha estrategia y al apetito de riesgo que marque la organización. Eso supone que los equipos médicos trabajen de forma conjunta con los equipos de TI y seguridad a la hora de planificar el despliegue de nuevos equipos, dispositivos, plataformas y aplicaciones para que su instalación y conexión se realice de forma segura, contemplando controles y contramedidas organizativos y técnicos para preservar la seguridad de infraestructura e información.

Para acometer esta misión, se debe contar con la inversión necesaria en medios y recursos, encontrando un equilibrio entre medios propios y contratados a través de la industria de ciberseguridad para equilibrar la inversión, toma de decisiones, configuración, gestión, operación y capacidades en materia de ciberseguridad, y todo ello proporcional a los activos a proteger.

Afortunadamente, la industria de ciberseguridad en España cuenta con empresas (como pone de manifiesto el ‘Catálogo de empresas y soluciones de ciberseguridad’ de INCIBE) que cubren toda la cadena de valor, desde la consultoría inicial, hasta los servicios y productos de última milla para proveer de las contramedidas específicas necesarias a cada activo de información; y, además, con enfoques de despliegue que van desde personal y equipamientos in-situ, hasta servicios completos remotos y en la nube. 

También, es necesario que los equipos de cumplimiento normativo estén atentos a posibles cambios en el marco regulatorio (como la entrada en vigor en España de la Directiva Europea NIS2) para garantizar que el nivel de ciberseguridad de la organización es acorde a lo exigido por los reguladores.

Otro aspecto crucial es la concienciación en materia de ciberseguridad a toda la organización, tanto a las capas de dirección, gestión y en especial a los trabajadores de la salud que operan los servicios y gestionan los datos. 

Se recomienda realizar auditorías de ciberseguridad sobre los activos de información que comprueben de forma periódica las medidas de ciberseguridad en práctica, y sirvan para detectar posibles fallos a corregir o identificar mejoras.

Como última recomendación, asumir que un incidente se puede o se va a producir, por lo tanto, poner en práctica un ‘Plan de continuidad de negocio’, que asegure que si se produce un incidente significativo, toda la organización está coordinada y orquestada para actuar al unísono para una correcta gestión de crisis, incluyendo la comunicación y gestión de medios, coordinación con autoridades, análisis del incidente, medidas de contención, de respuesta y de recuperación de datos y servicios, y lo más importante: la vuelta a la normalidad en el menor tiempo posible de la prestación de servicios asistenciales de salud que afectan a los pacientes.