Durante los últimos años han aumentado notablemente los riesgos informáticos para los organismos públicos, las empresas y los usuarios particulares; por ello se espera que el año 2022 no sea una excepción.
El sector sanitario es un entorno altamente complejo en términos de procesos, lo cual, sumado al hecho de que tiene una actividad constante durante todo el año, provoca que este tipo de riesgos esté muy presente. Además, hay que tener en cuenta que la gran mayoría de los equipos y medios de diagnóstico modernos de los centros asistenciales contienen muchos componentes informatizados, conectados a la red cada vez más. A esta gran complejidad organizativa y a la gran cantidad de sistemas dispersos interconectados se añade el mayor de los incentivos para los ciberdelincuentes: la información clínica de los pacientes.
A continuación describimos algunos de los riesgos para los usuarios particulares y las organizaciones del sector sanitario a los que la Oficina de Seguridad considera que debe prestarse especial atención durante 2022 a fin de protegerse.
- Digitalización del sector sanitario y adopción de la telemedicina. Aunque los programas de telemedicina resultaron muy útiles durante la peor etapa de la pandemia de COVID-19, hay que valorar todos los casos asistenciales de forma individual y evitar las valoraciones sobre todos los casos telemáticamente sin garantizar que el canal de comunicación sea seguro y confiable. Datos como un historial médico pueden venderse en la DarkWeb por cantidades que van desde poco más de un euro hasta grandes cuantías, y pueden utilizarse para fines maliciosos, como la extorsión, estafas, etc.
- Uso inadecuado de datos recopilados por conectados (wearable). Estos dispositivos son complementos que monitorizan las constantes médicas de un paciente durante las 24 horas del día recopilando una gran cantidad de datos personales sensibles, que quedan en manos de empresas privadas: la ubicación del paciente en cada momento, el registro de las constantes vitales (frecuencia cardíaca, saturación del oxígeno en la sangre, etc.), datos de actividad (cuenta de pasos o kilómetros…), entre otros. Quizás estos datos por sí solos no sirvan de mucho, pero si se dispone de una gran base de datos con muchos usuarios con rutinas distintas se pueden crear perfiles de personas que pueden aportar gran cantidad de información para utilizarla con fines ilícitos, como campañas de publicidad o envío de correo basura según el perfil de cada usuario.
- Secuestro de dispositivos médicos (medjacking). Consiste en el hackeo (compromiso) de sistemas de rayos X, escáneres de tomografía computarizada, refrigeradores médicos, desfibriladores, etc. Esto puede provocar grandes problemas en el uso de estas herramientas de diagnóstico, incluso puede imposibilitar que funcionen correctamente.
- Resultados imprecisos de la inteligencia artificial. Se están mejorando los métodos tradicionales para reconstruir imágenes de pruebas (resonancias magnéticas, radiografías o tomografías computarizadas) añadiéndoles capacidades de inteligencia artificial, lo cual es positivo porque optimiza la calidad y la velocidad del análisis. No obstante, dado que la tecnología presenta ciertas limitaciones, pequeñas desviaciones en la captura de resultados pueden producir un gran cambio en los resultados si el motor de razonamiento no ha sido bien entrenado con una gran variedad de casos. Por ello los profesionales del Servicio de Salud deben ser conscientes de las limitaciones de cada herramienta y tratar toda información con cierta prudencia.
- Error humano. Aunque los ataques maliciosos son los más frecuentes, en ocasiones los incidentes pueden ser el resultado de la negligencia o la falta de información de los usuarios. Por ello se les considera el eslabón más débil de la cadena. Tal fue el caso, en abril de 2018, de un empleado de una empresa de seguros médicos estadounidense que publicó accidentalmente un archivo que contenía la información médica y personal de pacientes. La compañía tardó dos meses en detectar este error humano.
- Suplantación de identidad (phishing). Se ha registrado un gran aumento de ataques de este tipo, una gran parte de los cuales relacionados con la pandemia. Palo Alto Networks ha cifrado el aumento de este tipo de amenaza dirigida a farmacias y hospitales en aproximadamente un 190 % en el último año. Cabe subrayar que los ataques de suplantación de identidad relacionados con la vacunación aumentaron más de un 500 %.
- Secuestrador (ransomware). Los atacantes han descubierto que las organizaciones médicas que ofrecen tratamientos vitales a sus pacientes pueden ser extorsionadas más fácilmente que las empresas de cualquier otro sector. Según datos de Tenable, entre enero de 2020 y febrero de 2021, los ataques de ransomwarehan sido la causa principal del 55 % de las violaciones de la información en el sector de la salud.
- Cortes en las comunicaciones por cable o inalámbricas. Este tipo de incidente puede provocar la imposibilidad de acceder a recursos (datos de la historia clínica de los pacientes, resultados de pruebas diagnósticas, monitorización de los sistemas de almacenamiento de medicamentos…). Por ello los fallos en las comunicaciones pueden interrumpir el flujo de trabajo, lo cual retrasa la atención a los pacientes e incluso les causa lesiones graves o el fallecimiento por el hecho de no recibir alertas críticas. Estos riesgos se pueden minimizar monitorizando las redes continuamente y manteniendo activamente los sistemas de comunicaciones.
Todos los riesgos descritos nos recuerdan la importancia de educar a los usuarios de cualquier organización —especialmente a los profesionales de la salud— sobre las buenas prácticas en materia de ciberseguridad. Por ello el Servicio de Seguridad de la Información ha desarrollado un plan de concienciación de manera específica para este fin, que actualiza periódicamente: en el Código de buenas prácticas se detallan las buenas prácticas en materia de ciberseguridad que los trabajadores del Servicio de Salud de las Islas Baleares han de cumplir y en la política de seguridad se recogen las acciones que el Servicio de Salud lleva a cabo para paliar los ciberataques que sufre y para valorar sus posibles efectos.
Para ahondar en esta materia le recomendamos que consulte estos otros boletines de seguridad:
- Boletín núm. 91: «Dispositivos médicos inteligentes».
- Boletín núm. 87: «Consejos de seguridad para el verano».
- Boletín núm. 84: «Aumento de casos de phishing en el sector sanitario».
- Boletín núm. 83: «Riesgos y amenazas en productos no actualizados y fuera de soporte».
- Boletín núm. 78: «Propuestas de antivirus gratuitos para ordenadores personales».
- Boletín núm. 72: «Buenas prácticas en el uso del correo electrónico».
- Boletín núm. 53: «Campañas de software malicioso e ingeniería social».
Finalmente, le recordamos que la seguridad de la información es cosa de todos y que empieza por cada uno de nosotros. Muchas gracias por su colaboración.