Salud, un sector rentable para el cibercrimen

Por variadas razones, las organizaciones de salud representan para los cibercriminales un blanco tan rentable como los bancos. Esto porque, en efecto, la información de salud de los pacientes y sus datos personales, así como la información relacionada con la investigación clínica, representan un activo valioso y comercializable.

¿Por qué? De acuerdo a la experiencia internacional, el aumento del riesgo se debe al sinnúmero de sistemas descentralizados que suele haber en instalaciones hospitalarias, los bajos estándares en seguridad física, la poca conciencia del riesgo en sus trabajadores y el aumento de dispositivos médicos conectados a redes para facilitar la telemedicina. Respecto a esto último, el pasado informe del PwC Health Research Institute daba cuenta que solo en EE.UU. hubo un incremento de 525% de dispositivos médicos con vulnerabilidades de ciberseguridad para el año 2018. Esta estadística se vuelve aún más preocupante, considerando que el mismo informe señalaba que muchos hospitales ni siquiera tenían claro cuántos de estos dispositivos tenían conectados a sus redes.

Las técnicas utilizadas por los ciberdelincuentes para atacar centros de salud son similares a las que se utilizan para afectar la seguridad de otras industrias; sin embargo, los objetivos difieren, ya que en este caso lo que buscan es principalmente la extorsión. En efecto, por medio de softwares maliciosos conocidos como ransomware, estos grupos criminales cifran los datos en los computadores conteniendo datos críticos y exigiendo un rescate en bitcoins para no destruirlos.

Pero no sólo eso, en ocasiones los delincuentes han amenazado con publicar la información médica de pacientes exigiendo pagos en la misma moneda para no hacerlo, explotando ya sea el impacto que tal difusión puede tener en la confianza de los pacientes o bien, las potenciales multas a las que pueden verse enfrentados los centros de salud que custodian dichos datos.

La capacidad de evidenciar los ataques es otro elemento preocupante, de hecho, en simulaciones de ciberataques solicitadas por clínicas a PwC en otros países, se accedió a información sensible de pacientes, sin que muchas de dichas acciones fueran siquiera detectadas. Pero el factor más crítico en los centros de salud, es la falta de entrenamiento del personal para enfrentar los problemas asociados a ciberataques, así como la ausencia de buenas prácticas para reforzar la cultura organizacional de ciberseguridad.

En momentos que en Chile se está dando un importante impulso a la telemedicina, y ante la muy probable aprobación de la ley de Protección de Datos Personales, urge que organismos públicos y privados de salud tomen medidas para prevenir los ataques que seguro enfrentarán en el corto plazo.

Muchas de esas medidas pasan por la implementación de soluciones tecnológicas para monitorear sistemas y vulnerabilidades; sin embargo, las más relevantes se asocian a la puesta en práctica de una estrategia de ciberseguridad, al fomento de una fuerte cultura organizacional por medio de la concienciación y entrenamiento y, lo más importante, al compromiso e involucramiento decidido de parte de los directorios y líderes.

Publicado en Pulso del diario La Tercera.

Gracias por visitar el blog.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s