Ataques informáticos contra el sector sanitario

Despreocupado por su condición social y su excelente posición en la comunidad, el ámbito sanitario ha descuidado durante años la seguridad de sus sistemas. Nos encontramos ahora con una industria tecnológicamente muy avanzada pero con un abandono en seguridad muy preocupante.
Los sistemas operativos de la gran mayoría de centros sanitarios están obsoletos y carecen de un sistema de seguridad adecuado. Se han detectado grandes agujeros en el sector sanitario, que pueden comprometer millones de datos de pacientes.
Todo el sector está en plena revolución tecnológica y ahora toda la información se almacena en formato digital, algo muy beneficioso para el paciente. Toda esta información se encuentra además disponible a través de la red así, en caso de cambio de médico, por ejemplo, el facultativo puede acceder de forma sencilla al historial del paciente. Es este mismo adelanto el que genera un serio problema de seguridad para la industria sanitaria. La información médica es muy valiosa, por lo que quien logre hacerse con ella puede obtener suculentos beneficios.
En algunos países incluso, se puede comerciar con esta información de forma legal, y hay empresas muy interesadas en hacerse con ella, desde centros de investigación a compañías aseguradoras.
Por no hablar del mercado negro, donde un historial clínico puede ser varias veces más valioso que una tarjeta de crédito.
Estos registros contienen una gran cantidad de información personal, lo que puede convertirse también en una llave maestra para llevar a cabo ataques dirigidos. Pensemos en personas clave en puestos de responsabilidad que cuidan especialmente su privacidad y son muy reservadas a la hora de mantener online su información personal. Por muy cuidadosas que sean no pueden evitar que sus historiales estén registrados en sus centros médicos, y si estos caen en manos equivocadas, su intimidad puede dejar de ser tan privada.
Historiales médicos, direcciones de email, contraseñas, números de la seguridad social, información confidencial de empleados, pacientes y empresas; datos todos ellos con un valor increíblemente alto que están rodeados de la última tecnología pero protegidos con un sistema de seguridad que se ha quedado obsoleto.
De acuerdo con la Office of Civil Rights de Estados Unidos, durante 2015 se produjeron unos 253 agujeros de seguridad en el sector sanitario que afectaron a más de 500 personas con el robo de más de 112 millones de registros. Esta industria sufrió más ataques que cualquier otra en 2015, según IBM.
El gasto mundial en el mercado de la ciberseguridad fue de 75 billones de dólares el año pasado, lo que supone un crecimiento del 4,7% respecto a 2014, y se prevé que este gasto aumente un 2,5% en 2020, según indicó Rosa Díaz, Directora General de Panda Security España gracias a datos de la empresa Gartner. Sin embargo, el sector sanitario se ha quedado atrás con respecto a otros sectores y no ha invertido lo suficiente como para poner al día sus sistemas de seguridad informáticos.
El problema más grave al que se enfrentan es el ransomware, que consiste en un virus que restringe información del sistema infectado, generalmente de pacientes, y para poder recuperar y liberar dicha información los hackers exigen el pago de rescates muy elevados.
Según un estudio publicado por el Ponemon Institute, en los últimos 5 años los ataques a este sector han aumentado un 125%, convirtiéndose en su principal causa de pérdida de información.
La situación es inquietante, puesto que un 91% de las organizaciones consultadas en ese estudio reconocían haber sufrido al menos una pérdida de datos como consecuencia de algún ataque durante los 2 últimos años. Y hasta un 40% reconocía haber tenido 5 o más pérdidas de información durante ese mismo periodo.
Los ataques han demostrado ser capaces de paralizar la actividad de un hospital, de robar miles de registros y de utilizar la información sensible como rehén de cobro.
Pero bajo todo esto, hay algo mucho más cercano que puede afectar a cualquier persona de a pie. Solo tenemos que pensar en que prácticamente todos los equipos médicos (marcapasos, escáneres, rayos X, bombas de perfusión, respiradores, etc.) están conectados en red. Pensaremos pues en casos reales y no en delirios tan fantásticos como pueden parecer.

Historial de ataques

• En 2006, un empleado de la Cruz Roja Americana en San Luis accedió a los datos de más de 1 millón de donantes de sangre, y llegó a robar la identidad y a utilizar la información de 3 de ellos.
• Un año después, 2 servidores que contenían datos de casi 1 millón de pacientes fueron robados del Children’s University Hospital de Temple Street, en Irlanda. Entre la información sustraída se hallaban datos de los pacientes, incluyendo nombres, fecha de nacimiento y motivo del ingreso.
• En 2008, la University of Utah Hospitals & Clinics anunció que los datos de 2,2 millones de pacientes habían sido robados. Los datos estaban en unas cintas de backup guardadas en el coche de un empleado de una empresa externa con la que habían subcontratado el almacenamiento. En este caso el empleado incumplió los protocolos establecidos para el transporte de información y millones de personas vieron sus datos comprometidos.
• Un ejemplo muy gráfico de esta situación lo protagonizó Anthem en 2015. Esta aseguradora médica, la segunda de EEUU, sufrió el robo de 80 millones de registros, con datos tan sensibles sobre los clientes como su número de la Seguridad Social.
• El Hollywood Presbyterian Medical Center de Los Ángeles declaró una “emergencia interna” y dejó a sus empleados sin acceso a los historiales médicos de sus pacientes, al correo electrónico y otros sistemas. Como consecuencia de esto, algunos pacientes no pudieron recibir tratamiento y algunos tuvieron que ser derivados a otros centros. El rescate solicitado por los ciberdelincuentes era de 3,7 millones de dólares. Aunque el CEO del hospital llegó a un acuerdo y finalmente pagó unos 17.000 dólares para poder recuperar los ficheros secuestrados.
• MedStar Health reconoció también que tuvo que desconectar algunos de los sistemas en sus hospitales de Baltimore debido a un ataque similar. 
• El Methodist Hospital en Henderson, Kentucky, pagaron un rescate de 17.000 dólares, aunque se comenta que el pago pudo ser sensiblemente superior a la cifra publicada.
• Prime Healthcare Management, Inc. fue también víctima, con 2 hospitales atacados (Chino Valley Medical Center y Desert Valley Hospital), y muchos otros afectados por el mismo ataque. En este caso la compañía no pagó ningún rescate.
• En Alemania, varios hospitales como el Lukas Hospital en Neuss y el Klinikum Arnsberg en North Rhine-Westphalia, sufrieron también ataques de ransomware. Pero en ninguno de los dos casos se accedió a pagar el rescate.
• De hecho, es necesario apuntar que el pago del rescate en ningún caso garantiza la recuperación de la información. Un claro ejemplo de esto es lo que le sucedió al Kansas Heart Hospital en mayo de 2016 que, tras sufrir un ataque de ransomware, sus responsables optaron por pagar el rescate demandado. Los atacantes comenzaron a descifrar la información pero, justo antes de finalizar, exigieron un segundo pago para devolver el resto de la información. El hospital decidió no realizar este segundo pago.