En los últimos años la ciberseguridad se ha ido afianzando como una de las prioridades de las empresas en España y alrededor del mundo. Se constata con el aumento de la inversión y participación de las empresas y organismos públicos y con la inclusión de los responsables de seguridad informática en los comités de dirección de las empresas.
Los nuevos modelos de trabajo y las amenazas cibernéticas crecientes han hecho que las compañías dediquen más personal y capital a mitigar este tipo de riesgos, ya sea de manera interna o externa. Un buen punto de inicio para comprender la importancia de la ciberseguridad y su urgencia es conocer el comportamiento de los ciberataques examinando las cifras, tipologías y objetivos.
Actualmente tanto en España como en otras partes del mundo, las grandes compañías invierten mucho más en protegerse de los cibercriminales. Esto no tiene lugar en la misma proporción en las pymes ni incluso entre usuarios, en parte por razones económicas, pero también por la creencia de no formar parte del objetivo de las amenazas de los cibercriminales. Por ello, el aumento de ciberataques a pequeñas y medianas empresas y a los usuarios ha aumentado en gran medida, por la debilidad tecnológica y el desconocimiento sobre este tipo de ataques.
Uno de los factores que propició el aumento de ciberataques fue la pandemia de la COVID-19, que dio a los ciberdelincuentes la oportunidad para atacar a las empresas en un momento de incertidumbre total y en el que se encontraban más desprotegidas. Así, los ataques de software malicioso (malware) aumentaron un 358 % en el año 2020.
Actualmente, el impacto de la cibercriminalidad va creciendo año tras año. Así, cada vez aumenta más el número de hechos conocidos y su peso proporcional en la delincuencia en general, ya que, en concreto en España, en comparación con el total de infracciones penales, la cibercriminalidad ha pasado de representar el 7,5 % en 2018 al 16,1 % en 2022.
En cuanto a la tipología de delitos, en el caso de España, el INCIBE-CERT ha gestionado desde el 2016 varios tipos de incidentes, que han ido variando su naturaleza con el paso de los años. En 2022 los incidentes más numerosos han tenido relación con los sistemas vulnerables, con un total de 51.711; esto es más de 31.000 casos más en comparación a 2021. Los incidentes relacionados con el fraude han sido 33.576, lo que significa un aumento de 2.000 casos respecto al año 2021.
La Oficina de Seguridad del Servicio de Salud de las Islas Baleares quiere hacer hincapié en la amenaza creciente de ciberataques contra el sector de la salud, donde hay que destacar que no solo existen consecuencias económicas, sino que estos ciberataques también pueden afectar al bienestar de las personas.
En el sector de salud de España hay varios ejemplos recientes de ciberataques, como el del Hospital Clínic (Barcelona) del tipo ransomware, en el que los ciberdelincuentes filtraron datos en la web oscura (dark web) como datos sanitarios, resultados identificativos, ensayos clínicos y muchos más. Además, los ciberdelincuentes pidieron un rescate de cuatro millones de euros. Los daños sufridos, por su magnitud, aún no se han calculado del todo. Otro ciberataque muy relevante fue a la empresa mayorista de medicamentos Alliance Healthcare, que causó interrupciones en la distribución y afectó al bienestar de los pacientes.
En las organizaciones de la salud no solo hay que proteger los activos de información médica y sistemas de asistencia sanitaria, sino que también los datos empresariales, propiedad intelectual y a los pacientes.
Los ciberataques que se han producido en el sector de salud español incluyen ataques de ransomware, software malicioso, ataques DDoS, ingeniería social y ataques a las cadenas de suministro. Estos tienen principalmente motivos económicos, pero pueden lanzarse también con intenciones de espiar e incluso con motivaciones ideológicas.
Con el objetivo de crear un marco común para incrementar el nivel de protección de las empresas de los sectores críticos europeos, donde se incluyen las empresas del sector salud, se aprobó a finales de 2022 la directiva NIS2, que puede consultar en el Boletín de Seguridad de la Información del Servicio de Salud de 24 de febrero de 2023, clicando aquí.
Por último, para ayudar a combatir los ciberataques, tanto las empresas como las administraciones públicas deben fortalecer su seguridad por medio de pruebas de seguridad, auditorías de seguridad de dispositivos IoT e infraestructuras en la nube, pruebas contra ataques DDoS, gestión y detección de vulnerabilidades, pruebas de penetración (pentesting) y actividades de formación y concienciación para que todos los profesionales sean conscientes de las amenazas actuales.
Los ciberataques contra el sector de la salud son una tendencia que ha aumentado los últimos años y que pueden generar pérdidas económicas y de reputación para hospitales públicos y privados, aseguradoras, farmacéuticas y demás actores del sector salud, pero sobre todo pueden dañar la salud de los pacientes, ya que pueden retrasar la atención y los tratamientos, con consecuencias fatales.
Por todo lo descrito anteriormente, todos los profesionales del Servicio de Salud de las Islas Baleares tienen acceso a formaciones en ciberseguridad y concienciación. Además, hay protocolos y procedimientos de prevención y actuación; en el Código de Buenas Prácticas del Servicio de Salud se han establecido varías prácticas de protección; también se ha obtenido la certificación en el Esquema Nacional de Seguridad y se trabaja a diario para combatir los ciberataques que puedan causar cualquier daño tanto al Servicio de Salud como a los profesionales y pacientes que lo integran.
Igualmente, le recomendamos que consulte los boletines anteriores siguientes: