Las brechas de datos de 2023 que afectaron a las industrias sanitarias

brechas de datos

El sistema sanitario de la UE está siendo atacado. Entre enero de 2021 y marzo de 2023, el sector sanitario se enfrentó a varios incidentes de ciberseguridad, poniendo en peligro la información confidencial de datos de hospitales y pacientes.

Por decimotercer año consecutivo, el sector sanitario registró las violaciones de datos más caras, con un coste medio de 10,93 millones de dólares. Este año, 40 millones de pacientes ya se han visto afectados por filtraciones de datos, lo que indica que 2023 va camino de establecer un nuevo récord de ataques al sector sanitario.

Internxt es un servicio de almacenamiento en la nube basado en encriptación y privacidad.
Internxt es un servicio de almacenamiento en la nube basado en encriptación y privacidad.

Informe de violaciones de datos sanitarios en 2023

La Agencia de Ciberseguridad de la Unión Europea (ENISA) realizó un informe que documenta todos los incidentes de ciberseguridad registrados a principios de 2023. De estos incidentes, el 53% iban dirigidos a proveedores sanitarios, siendo los hospitales el principal objetivo de los ataques.

Los ciberataques más comunes al sector sanitario

El ataque más común a estos proveedores sanitarios fue el ransomware. Debido a la información confidencial y sensible que guardan los hospitales y otros proveedores sanitarios, el ransomware es el método más eficaz para que los ciberdelincuentes extorsionen a sus víctimas.

El ransomware es un ciberataque en el que los hackers toman el control de los archivos, datos o dispositivos de su objetivo. A continuación, exigen el pago de un rescate para devolver a la víctima sus activos y su confidencialidad.

El ransomware está creciendo rápidamente, aumentando de 46 a 56 incidentes entre 2021 y 2022, y ha seguido creciendo durante la primera mitad de 2023.

¿Cómo funciona el ransomware?

La forma más común de ransomware es el "ransomware de cifrado", que se produce cuando la red de la víctima se infecta a través de adjuntos de correo electrónico maliciosos, descargas, sitios web falsos o vulnerabilidades de software.

Una vez instalado, el ransomware cifra los archivos del disco duro local, haciéndolos inaccesibles e ilegibles. Para recuperar el acceso, el atacante exige el pago de un rescate, a menudo en Bitcoin, a cambio de una clave de descifrado que devuelva los archivos a su estado original.

Infracciones de datos habituales en el sector sanitario

Las amenazas relacionadas con los datos son la principal preocupación del sector sanitario y se clasifican en filtraciones o filtraciones de datos.

Una violación de datos es un ataque intencionado por parte de un ciberdelincuente con el objetivo de obtener acceso no autorizado a información confidencial. Una fuga de datos, por otro lado, es la divulgación involuntaria de información confidencial, como un error humano o malas prácticas de seguridad.

Aparte del ransomware, las siguientes son otras amenazas comunes para el sector sanitario.

Ataques distribuidos de denegación de servicio DDoS

Un ataque distribuido de denegación de servicio utiliza bots para inundar un sitio web o un servicio en línea hasta el punto de sobrecargar el servidor del sitio web. El objetivo de este ataque es ralentizar el sitio web o hacerlo inaccesible. Un ataque DDoS a un hospital interrumpe la comunicación entre el personal y los pacientes y dificulta el acceso a los datos de los pacientes.

A principios de 2023, el auge del hacktivismo prorruso incrementó el número de ataques DDoS en toda Europa, con un total de 20 incidentes contra autoridades sanitarias europeas en los Países Bajos, Dinamarca, Suecia y España.

Malware

Malware, abreviatura de software malicioso, se refiere al software diseñado para dañar, explotar o comprometer sistemas informáticos, redes, dispositivos y datos.

En el sector sanitario, el 5% de los incidentes estuvieron relacionados con programas maliciosos. En estos casos, se utilizaron correos electrónicos infectados con malware para enviar correos electrónicos de phishing a clientes o pacientes con el fin de engañarlos para que hicieran clic en un enlace o archivo infectado que luego robaría sus datos confidenciales.

Ingeniería social, intrusión y otras amenazas

Dado que el sector sanitario depende del mantenimiento y almacenamiento de datos confidenciales, es un objetivo primordial para los ciberdelincuentes en busca de grandes beneficios. Por ello, el ransomware y las amenazas relacionadas con los datos son los ataques más comunes. Sin embargo, las organizaciones también corren el riesgo de sufrir una gama más amplia de ataques, como se muestra a continuación.

Infracciones de datos en el sector sanitario, 2023

Los siguientes tres incidentes de violación de datos en 2023 ejemplifican lo devastador que puede ser un ciberataque para las organizaciones sanitarias, tanto para la empresa como para sus víctimas.

Dos de estos ataques fueron llevados a cabo por los infames grupos de hackers Ransom House y LockBit, siendo este último el responsable del mayor número de incidentes en comparación con los grupos mencionados a continuación.

Echemos un vistazo a tres de los ataques de violación de datos más significativos de 2023, empezando por Estados Unidos.

La Asistencia Gestionada Norteamericana (MCNA)

La MCNA ofrece seguros dentales a empresas privadas, particulares y familias de Estados Unidos. Es uno de los mayores proveedores de atención dental y bucodental patrocinados por el gobierno de Estados Unidos.

El 6 de marzo de 2023, la MCNA declaró haber tenido conocimiento de un acceso informático no autorizado. Tras una investigación, se descubrió que el ataque se había producido el 26 de febrero. Poco después, se emitió una notificación a la oficina del Fiscal General de Maine, en la que se afirmaba que 8.923.662 personas se habían visto afectadas por la brecha.

LockBit reivindicó la autoría del ataque el 7 de marzo y amenazó con liberar 700 GB de información confidencial a menos que MCNA pagara un rescate de 10 millones de dólares antes del 6 de abril.

El 7 de abril, LockBit hizo públicos los datos robados, poniendo a disposición del público los siguientes datos para su descarga.

  • Nombres completos, direcciones, números de teléfono
  • Números de la Seguridad Social y del gobierno
  • Planes de seguro médico
  • Radiografías, recetas de medicamentos, nombre del dentista y tratamiento

Dado que es probable que la información filtrada sea descargada por otros ciberdelincuentes, cualquier persona relacionada con el MNCA en ese momento debe supervisar regularmente su actividad crediticia para protegerse contra el robo de identidad o el fraude.

El almacenamiento en la nube de Internxt es una alternativa centrada en la privacidad a Google.

Hospital Clínic De Barcelona

El 5 de marzo de 2023, el Hospital Clínic de Barcelona sufrió un ataque de ransomware por parte del grupo cibercriminal Ransom House. El servicio de informática y ciberseguridad del Hospital alertó rápidamente a la Agencia Catalana de Ciberseguridad para averiguar qué tipo de datos habían sido robados y qué soluciones había disponibles.

El ransomware se introdujo debido a que el software del hospital no estaba actualizado, una vulnerabilidad habitual que los hackers ponen al descubierto. Esta vulnerabilidad provocó una intrusión no autorizada en el software del hospital y el posterior robo y cifrado de sus datos.

Como resultado de este ataque, se vieron comprometidos 4,5 terabytes de datos personales. A cambio, Ransom House exigió un pago de 4,5 millones de dólares para evitar que estos datos pudieran ser descargados por el público.

Los datos robados en el ataque se publicaron posteriormente para su venta en la dark web después de que el hospital se negara a pagar, poniendo a la venta la siguiente información sensible de los pacientes.

  • Historiales médicos y de admisión
  • Órdenes médicas
  • Informes de quirófano
  • Raza, orientación sexual y creencias religiosas

Este ataque también afectó gravemente a la forma en que el hospital gestionaba la atención a los pacientes y la administración. Las enfermeras tuvieron que ocuparse manualmente de los casos de los pacientes en papel, y las ambulancias tuvieron que ser desviadas a otros hospitales de Barcelona. Además, el hospital tuvo que cancelar 150 operaciones no urgentes y 3.000 citas.

Centro Hospitalario Universitario (CHU) Saint-Pierre, Bélgica

Del 10 al 11 de marzo, un hospital universitario de Bruselas se convirtió en otra víctima de un ciberataque. El director general del hospital, Pierre Leroy, declaró que el hospital tuvo conocimiento del ataque después de que "nuestros especialistas detectaran una actividad anormal en la red informática".

Afortunadamente, el hospital puso en marcha un plan de emergencia que implicaba que el personal pasara a trabajar con historiales en papel, y todas las ambulancias fueron desviadas a hospitales vecinos como medida de precaución.

El hospital también desconectó sus servidores para evitar daños en el sistema, y los responsables del hospital declararon que no había indicios de que se hubiera puesto en peligro ningún dato personal o sensible a causa del ataque.

¿Cómo pueden los hospitales prevenir los ciberataques?

Para los profesionales sanitarios, es crucial ser conscientes de los riesgos de los ciberataques en el sector. En un estudio realizado por la ENISA, sólo el 27% de las industrias del sector sanitario cuentan con un sistema de defensa dedicado contra el ransomware.

Los conocimientos de ciberseguridad deben transmitirse a los profesionales no informáticos, ya que cualquier persona que trabaje con información sensible o que trabaje en línea debe aumentar su conciencia cibernética. El mismo estudio de la ENISA mostró que el 40% del personal no informático no tiene conciencia ni formación sobre los riesgos de la ciberseguridad.

Para proteger a los hospitales, los pacientes y el personal, los proveedores de atención sanitaria deben seguir prácticas de ciberhigiene que pueden ayudar a mitigar las amenazas de ciberataques.

Integración del almacenamiento en la nube

Las soluciones de almacenamiento en la nube se están convirtiendo rápidamente en la norma no sólo para los particulares, sino también para las grandes empresas. Un proveedor de almacenamiento en la nube seguro aplicará medidas de seguridad sólidas para salvaguardar los datos que almacena.

Con el almacenamiento seguro en la nube, los hospitales u otras organizaciones sanitarias pueden cifrar los datos que almacenan en reposo y en tránsito, lo que significa que los datos se cifran cuando se almacenan en la nube y cuando se transfieren, manteniéndolos seguros frente a terceros o piratas informáticos.

Los proveedores de almacenamiento en la nube también son responsables de mantener la seguridad de sus plataformas. Actualizarán y parchearán continuamente sus sistemas en busca de amenazas de seguridad, reduciendo el número de ataques a hospitales causados por software obsoleto, como fue el caso del Hospital Clinic De Barcelona.

Formación y concienciación de los empleados

El 16% de los ataques se deben a errores humanos, que pueden evitarse si las organizaciones forman a los empleados para que reconozcan los signos de las ciberamenazas más comunes, como los correos electrónicos de phishing.

Por lo tanto, los empleados deben recibir formación para reconocer y denunciar los correos electrónicos sospechosos de phishing, ya que es una forma habitual que tienen los ciberdelincuentes de introducir ransomware en el sistema.

Otros consejos de ciberhigiene que pueden seguir los empleados son:

-Gestión de contraseñas: Enseñar a los empleados los aspectos esenciales de una contraseña segura (larga, compleja y única) y cómo integrar su contraseña con la autenticación multifactor.
-Actualizaciones de software: Los empleados deben mantener sus dispositivos, móviles, tabletas y ordenadores actualizados en todo momento para reducir el riesgo de introducción de malware en software obsoleto.
-Actualizaciones periódicas de la formación: La formación y estar al día en temas de seguridad ayudará a los empleados a identificar y denunciar actividades sospechosas antes de que se produzcan demasiados daños.

Evaluaciones periódicas de la ciberseguridad

Las evaluaciones de ciberseguridad deben valorar los riesgos en los sistemas de TI, redes y aplicaciones de la organización para identificar o abordar posibles vulnerabilidades, debilidades o áreas de mejora.

El objetivo de estas evaluaciones es conocer los puntos fuertes y débiles de la organización. Una forma de hacerlo es mediante la realización de pruebas de penetración (pen testing), que es el proceso de:

  • Planificación: Definir los objetivos y métodos de las pruebas en la organización
  • Reconocimiento: Recopilación de información sobre la infraestructura y los sistemas que pueden ser objeto de ataque
  • Explotación: Intentar explotar estas vulnerabilidades para obtener acceso a la plataforma con intenciones maliciosas
  • Elaboración de informes: Documentar los hallazgos, los métodos utilizados y las posibles repercusiones si no se resuelven los problemas.
  • Solución: Proporcionar recomendaciones para solucionar las vulnerabilidades y debilidades.

Las evaluaciones periódicas, la formación y las pruebas realizadas por las personas adecuadas pueden ayudar significativamente a los hospitales y organizaciones sanitarias relacionadas a tomar medidas correctivas antes de que se conviertan en objetivos principales de los ciberdelincuentes.

Invertir en ciberseguridad para la sanidad fomentará una cultura de concienciación que garantizará el bienestar del hospital, sus empleados y sus pacientes.

Además, un informe sobre filtraciones de datos elaborado por IBM muestra que el sector sanitario ocupa sistemáticamente el primer lugar en cuanto a costes por filtraciones de datos, con 10,93 millones de dólares.

El sector financiero ocupó el segundo lugar, con 5,9 millones de dólares, y el farmacéutico consiguió reducir sus costes por violación de datos de 5,01 dólares en 2022 a 4,82 millones de dólares en 2023.

Internxt es un servicio de almacenamiento en la nube basado en encriptación y privacidad.

El futuro de la seguridad sanitaria para pacientes y profesionales de la salud

Los ataques a las industrias sanitarias siguen batiendo récords cada año, por lo que los hospitales y otras organizaciones sanitarias deben cumplir las leyes de privacidad establecidas por los gobiernos para defenderse de las constantes amenazas de ataques a los datos.

A medida que el futuro de la sanidad siga desarrollando tecnologías innovadoras, el riesgo de incidentes de seguridad para los hospitales nunca desaparecerá. Por ello, el sector sanitario debe estar preparado para un futuro basado en la protección de la vida y los datos de sus pacientes.