¿Están preparados los centros de salud ante posibles ciberataques?

Ser hackeado se ha convertido en la pesadilla de hoy. Si bien ser ví­ctima de cualquier tipo de actividad delictiva es una experiencia que impacta la economí­a de las personas y de las empresas, cuando de delitos informáticos se trata, el sinsabor es amargo y tormentoso.

Y es que el sector salud se ha convertido en el principal objetivo de los piratas informáticos, en ocasiones por encima del financiero o gubernamental. Con toda la introducción de la informática en este sector, historias clí­nicas digitales en red, el ’internet de las cosas’, y  dispositivos médicos conectados y configurables a distancia, se ha abierto la puerta a una modalidad delictiva para la cual, ni proveedores ni centros hospitalarios están preparados.

Puede parecer extraño, pero la posibilidad de generar ataques a dispositivos médicos aprovechándose de las ventajas de la conectividad inalámbrica es una realidad. Muchos dispositivos médicos tienen la caracterí­stica de conectarse inalámbricamente, controlar de forma remota o incluso algunos le permiten al especialista ajustar parámetros especí­ficos a dispositivos implantados. Por lo tanto, una persona que lleve uno de estos en su cuerpo querrá ser controlado de forma indiscriminada por un criminal. Desafortunadamente, una gran cantidad de dispositivos médicos son muy vulnerables. Entonces es posible que usted empiece a escuchar recomendaciones como “deshabilitar la opción de conectividad de los marcapasos”.

Entre tanto, Johnson & Johnson el año pasado emitió un comunicado indicando que un modelo particular de bombas de insulina podrí­a ser vulnerable a virus. Por su parte, St. Jude medical, temiendo que los pacientes  con dispositivos implantados puedan sufrir de ataques por hackers, ha invertido tiempo y dinero en mejorar su tecnologí­a procurando que dispositivos médicos tales como los desfibriladores, marcapasos, entre otros, sean “impermeables a los ataques informáticos”.

Según Tren Micro Survey, solo en los Estados Unidos podrí­an existir más de 36.000 dispositivos médicos con alta vulnerabilidad, convirtiéndose en blanco fácil de ataque cibernético. En América Latina el caso puede ser aún más crí­tico, considerando que existe un volumen alto de tecnologí­as soportadas con sistemas operativos antiguos, tales como Windows XP o Windows Server 2003, en los cuales es muy complejo realizar actualizaciones y mantener una protección adecuada.

Esta es la realidad del mundo, la tecnologí­a al servicio de los pacientes, pero con oportunidades para los delincuentes. No es mucho el progreso logrado en esta materia. Los últimos ataques generados por Wannacry pusieron en jaque a cientos de compañí­as y hospitales a nivel mundial, dejando un claro panorama de desprotección.
Pero el problema tiene un alcance mayor, el apetito de los hackers está muy enfocado a la información almacenada en las historias clí­nicas digitales de las instituciones de salud, algunas con niveles de seguridad mí­nimos. Y es que detrás de este apetito está la razón principal: el dinero. Una historia clí­nica puede oscilar entre 200 a 2,000 dólares, y aunque cueste creerlo, existe un mercado negro que manifiesta su interés en este tipo de datos.

El ataque más popular por estos dí­as es el ransomaware, un tipo de malware que encripta los archivos y restringe su acceso a cambio de un rescate económico, generalmente en términos de dinero digital, como es el caso de los bitcoins. Todo el paisaje de la extorsión ha cambiado, en palabras de los expertos: “O las empresas entran en esta nueva forma de vida digital, o estarán potencialmente fracasadas”.

Muchos de estos ataques, como el que sufrió el Rainbow Children's Clinic de Texas, en Estados Unidos, el verano pasado, toman la ruta tradicional de encriptar los registros digitales y mantenerlos como rehenes. Sin embargo, una nueva ola de ataques de ransomware toma un enfoque diferente, interrumpiendo el acceso a los sistemas digitales y luego exigiendo rescate a cambio de liberar los servicios para que puedan funcionar con normalidad. Por ejemplo, en el ataque de ransomware del Centro Médico Presbiteriano de Hollywood, también en Estados Unidos, el año pasado, las computadoras estuvieron por fuera de lí­nea durante una semana y otro generado contra un hospital alemán al mismo tiempo inhabilitó el correo electrónico forzando a los empleados a usar máquinas de papel y fax como contingencia. La efectividad de la retención de datos o sistemas de rescate se basa en la urgencia de recuperar el control. Por lo tanto, los hospitales se enfrentan a perder no solo dinero sino recursos crí­ticos para mantener a los pacientes vivos.

En este punto podemos afirmar que los atacantes informáticos evolucionan sus tácticas con una velocidad mayor que las estrategias de protección. Afortunadamente, existen algunos avances en esta materia. A partir de 2013, la Oficina para la Administración de Medicamentos y Alimentos de Estados Unidos (FDA, por su sigla en inglés) comenzó a evaluar seriamente la ciberseguridad de los dispositivos médicos como un criterio para la aprobación del producto, con actualizaciones desde entonces. La FDA se basó en la orientación del Instituto Nacional de Estándares y Tecnologí­a (NITS, por su sigla en inglés), en un documento llamado ‘Marco para mejorar la seguridad de la infraestructura crí­tica’. El NIST trabaja en la actualidad en revisiones y actualizaciones documentales, y también lanzó un documento distintivo que detalla un enfoque fundamental para desarrollar sistemas digitales seguros y confiables.

Algunas recomendaciones para mejorar la seguridad informática en los centros sanitarios

• Los ingenieros biomédicos y los profesionales de informáticos deben trabajar juntos para diseñar e implementar estrategias adecuadas que permitan mitigar los riesgos ante ciberataques.
• Una cultura de seguridad, las capacitaciones y la formación es la mejor forma de concientizar a los colaboradores sobre los riesgos de seguridad. Por ello, es fundamental que los centros sanitarios cuenten con un plan de formación periódico, actualizado y con las principales medidas de prevención.
• Como regla general, nunca se debe utilizar el correo electrónico para intercambiar datos de salud, y en el caso de que haya que usarlo, siempre debe realizarse entre cuentas corporativas de la organización de salud, firmando y cifrando los datos trasmitidos con un certificado electrónico.
• La privacidad de la contraseña es también un factor muy importante que no se puede dejar de lado. El profesional debe elegir una contraseña segura y que no sea compartida por ningún medio para evitar que alguien suplante su identidad.
• Por último, para evitar infecciones en los ordenadores y entrada de virus a la intranet del centro, no se deben conectar dispositivos extraí­bles que hayan sido utilizados en otros equipos informáticos.