Ciber-amenazas al sector salud: Un riesgo inminente

El sector salud, a nivel global, se ha vuelto un objetivo altamente atractivo en cuanto a ciberataques. Desde el año 2017 se ha reportado un incremento sustancial en la cantidad de ataques realizados en contra de las entidades del sector y también a aquellas relacionadas indirectamente con el mismo (BID, 2021).

Riesgo creciente en el sector salud

El destino de los ciberataques ha variado a lo largo de toda la cadena de suministros, desde las entidades prestadoras directamente de servicios de salud, hasta empresas de la industria farmacéutica y proveedores de bienes y servicios asociados al sector.

En la Figura 1 se puede evidenciar el número de ataques semanales a cada sector durante el año 2022. Como se puede observar, el sector de la salud aparece en quinta posición, con 1.387 ataques semanales en promedio. Sin embargo, al analizar el incremento de los ataques en comparación al año anterior, se demuestra que el sector salud es el que más creció, con un aumento del 69% en ataques. Dicha tendencia se ha mantenido en los últimos años, y de continuar en la misma dirección, se espera que para 2026 el sector salud sea el mayor objetivo de ciberataques a nivel global.

Teniendo en cuenta esta tendencia, no es fortuito que, según un estudio realizado por Trend Micro a finales de 2022, e l77% de empresas del sector salud consideran que serán objeto de un ciberataque exitoso en los siguientes 12 meses.

¿Por qué están aumentando los ciberataques?

Al analizar el panorama anterior, y evidenciar el riesgo inminente que está amenazando al sector salud en términos de ciberseguridad, la pregunta que surge es ¿Por qué este sector es tan atractivo para los ciberataques? La respuesta tiene diferentes causas que se han convertido en catalizadores para que este sector sea un objetivo altamente rentable para los cibercriminales (Swivel Secure, 2022).
Además de un ecosistema de ciudad cibersegura compuesto por:

1. Información privada de clientes: el sector salud es uno de los sectores que más cantidad de información personal confidencial concentra en sus bases de datos. Dicha información es, sin duda, un activo de gran valor y fácil venta por parte de los cibercriminales.
2. Punto de fácil acceso: el nivel de protección, en términos de ciberseguridad, del sector salud, es baja en comparación a otros sectores que también concentran gran cantidad de información.
3. La necesidad de acceso remoto: debido al acelerado proceso de digitalización vivido durante la pandemia, actualmente hay una mayor cantidad de personal, incluyendo usuarios, que accede a las plataformas de salud; mientras que las organizaciones no cuentan con estándares y protocolos para evitar caer en las numerosas estrategias de ataques.
4. Protección y fácil acceso: en su afán de facilitar el acceso de sus usuarios a los canales digitales de atención, las entidades del sector de la salud se han visto obligadas a sacrificar su nivel de protección.
5. Falta de educación corporativa: el personal de la salud tiene un perfil profesional muy diverso, causando dificultad para implementar con éxito programas de educación corporativa para la seguridad de la información.
6. Red cibernética muy amplia: El sector salud está introduciendo nuevos sistemas tecnológicos sin adquirir sistemas de ciberseguridad.
7. Parametrización de la información: la organización de la información que requiere el sector para facilitar la interacción entre varios actores en el trabajo diario, hace que dicha información sea muy apetecida en el mercado cibercriminal.

Consecuencias y costos para el sector salud

La relevancia de la ciberseguridad en el sector salud se ha visto relegada por la seguridad física y otras prioridades en los últimos años (Verizon, 2022), lo que ha aumentado la severidad del impacto de cada ataque que han sufrido. Adicionalmente, el proceso de adopción forzada del ciberespacio durante la pandemia, generó que se adquirieran ciber capacidades a una velocidad sorprendente, sin que estas fueran respaldadas por un sistema de ciberseguridad. Esto derivó en el aumento de la dependencia al medio digital sin garantizar su continuidad ante eventuales amenazas.

Según lo estableció el BID (2021), el costo aproximado de un ciberataque al sector salud es de US$10,1 millones;mientras que el mismo costo en el resto de sectores es de US$3,9 millones.

Dicha diferencia en el impacto económico de un ciberataque en el sector salud, se explica por varios factores:

• La falta de inversión en ciberseguridad y, sobre todo, en ciberesiliencia.
• Los diversos daños que causan los ataques en el sector salud, tienen no sólo repercusiones cuantificables directamente, sino también otras afectaciones de mayor alcance (Trend Micro, 2023).
• La interrupción o daños en la infraestructura crítica, se traduce en una reducción en las ganancias relativas al servicio prestado, medicamentos vendidos o patentes vulneradas.
• La disminución de la productividad durante y tras un ataque es un factor para considerar. El promedio de días entre un incidente y su identificación en el sector salud es de 329 días. (BID, 2021).
• Hay costos que van más allá de la esfera económica, como es el daño reputacional que sufre una organización al ponerse en duda su capacidad de blindar los datos privados de sus clientes.
• Las demandas judiciales y acciones regulatorias interpuestas por clientes y actores claves ante las organizaciones o instituciones.

Retos y amenazas en el 2023

Teniendo en cuenta la tendencia de incremento de los ciberataques contra el sector salud, y al analizar el modus operandi de los casos ocurridos en los años anteriores, se pueden identificar cuatro principales amenazas en ciberseguridad para el 2023:

1. Phishing

   Este tipo de ataque es el más común al que se enfrenta el sector salud, además de ser también el más exitoso. Consiste en un correo electrónico, mensaje de texto, link u otro tipo de canal de comunicación en el que suplantan a una institución o individuo con el objetivo de que la víctima entregue información personal o credenciales de acceso. A través de este, usualmente acceden a información privada o sistemas de empresas desde las cuales pueden expandir el impacto del ataque y dar paso a otro tipo de estrategias.

2. Ransomware

   Este tipo de ataque es de los más emblemáticos contra el sector salud en los últimos años; sobre todo en Colombia. Aquí, el atacante busca acceder a información privada de las bases de datos de una institución y encriptarla para evitar su uso por parte de esta. Luego, exigen un rescate económico para liberar la información.

3. Data Breaches

   Este ataque surge comúnmente de un phishing exitoso y tiene el objetivo de penetrar los sistemas de una institución. A diferencia de los ransomware, no buscan encriptar y solicitar un rescate, sino acceder y poseer uso pleno de las plataformas, herramientas e información de la institución víctima

4. Denegación del Servicio

   Este mecanismo busca sobrecargar los sistemas digitales de una institución para obstaculizar la continuidad del servicio ofrecido. Al depender cada vez más las cadenas de suministros a los procesos digitales, un ciberataque que deniegue el funcionamiento operativo puede incidir profundamente en el sector salud.

Teniendo en cuenta lo anterior, las empresas enfrentan de forma general retos en tres diferentes niveles para afrontar las amenazas explicadas anteriormente: (Trend Micro, 2023).

El primer nivel es el de las personas y su conocimiento sobre el tema, pues se ha evidenciado que la falta de comprensión por parte de la alta dirección de las empresas sobre la ciberseguridad y su priorización en los análisis de riesgo, ha frenado la adopción de capacidades para aumentar la prevención y resiliencia frente a posibles ataques.

El segundo nivel pertenece a las mejoras en procesos, entendidos como protocolos y hojas de ruta establecidas de forma previa para enfrentar los inminentes ataques cibernéticos.

El último nivel responde a las capacidades técnicas y tecnológicas para responder a un incidente de esta naturaleza. En la mayoría de casos las empresas tercerizan gran parte de su sistema de ciberseguridad sin hacer un seguimiento o monitoreo de su estado, e incluso en muchas otras ocasiones ni siquiera tienen a disposición las herramientas necesarias para defenderse.

En resumen, si bien el sector de la salud tiene grandes retos y riesgos en materia de ciberseguridad, también tiene aspectos claramente identificados, a través de los cuales puede diseñar una hoja de ruta para gestionar efectivamente:

• Mayor inversión en herramientas de ciberseguridad y ciber resiliencia.
• Mejores mecanismos de concienciación desde el nivel directivo, hasta los usuarios finales de los servicios del sector.
• Identificación del mejor punto posible en la relación entre la protección de la información y la facilidad del acceso a los servicios de los usuarios finales.
• Creación de mecanismos de articulación y fusión de información entre las entidades del sector, con el fin de compartir datos sobre amenazas, ataques y lecciones aprendidas.

Referencias

Checkpoint Research. (2023). Cyberattacks on the Health Sector Report 2022.
Kost, E. (Marzo 31 de 2023). Biggest Cyber Threats in Healthcare. UpGuard Security.
SonicWall. (2023).2023 SonicWall Cyber Threat Report.
Swivel Secure. (2022). 9 Reasons Why Healthcare is the Biggest Target for Cyberattacks.
Tejerina, L. y Paz, S. (22 de febrero de 2021). El sector salud es el más atractivo para los ciberataques. ¿Estamos preparados para protegerlo?. Banco Interamericano de Desarrollo.
Trend Micro. (2023). Trend Micro Cyber Risk Index (CRI) 2H´2022.
Verizon. (2022). Data Breach Investigations Report 2022.