Podemos mostrarnos preocupados ante ellas o reticentes a usarlas, pero es evidente que la incorporación de las nuevas tecnologías en todos los ámbitos del cuidado de la salud ha ayudado a salvar vidas, a agilizar los procesos y a generar nuevos modelos de atención médica.
Sin embargo, junto a estos grandes avances siempre nos encontramos con el reto de la ciberseguridad.

El sector sanitario maneja la información más confidencial que existe (protegida incluso por diferentes legislaciones) y además es un ámbito esencial y crítico, donde cualquier incidente debe gestionarse rápidamente. La víctima real siempre es el paciente, ya sea por cuestiones financieras, de reputación o personales, y es muy común que en este sector se decida pagar los rescates frente a, por ejemplo, ataques de tipo ransomware.

Como en casi cualquier entorno, los hospitales se enfrentan a tres vectores de aproximación para ataques conocidos:

• Remoto. Utiliza la red y los servicios online para alcanzar sus objetivos. Es uno de los más extendidos, ya que los atacantes no se exponen demasiado y pueden enmascararse de forma más segura.
• Interno. Se origina en alguien que tiene acceso a la red y a los servicios desde dentro de la entidad. El ámbito de la salud da cobijo a una variada gama de profesionales, en algunos casos de alta movilidad, y cualquiera de ellos puede convertirse en cómplice o atacante, ya sea por voluntad propia, desconocimiento o error. No obstante, tampoco hay que perder de vista a pacientes, visitantes o acompañantes, que también están dentro de las instalaciones.
• De proximidad. Todos los relacionados con tecnologías de comunicaciones de corto alcance (bluetooth, wifi, etc.). En este sector nos encontramos con muchos dispositivos médicos que hacen uso de estas tecnologías, cuya cobertura con frecuencia alcanza zonas comunes, lo que permite al atacante estar cerca sin exponerse a grandes riesgos.

Riesgos en tecnologías hospitalarias

Los dispositivos médicos muchas veces salen al mercado con pocas medidas de protección, o incluso con sistemas obsoletos e inseguros. Además, estos dispositivos pueden ser utilizados por pacientes desde sus propias casas sin necesidad de visitar los centros médicos. En muchos casos se trata de personas de edad avanzada, más vulnerables ante amenazas de ciberseguridad: suelen usar credenciales fácilmente predecibles, son candidatos para extraviar dispositivos o dejarlos expuestos accidentalmente, y son víctimas perfectas de ingeniería social.

Además, en entornos hospitalarios es habitual el uso de sistemas operativos obsoletos o sin soporte en la infraestructura informática, más vulnerables y con mayor probabilidad de ser víctimas de ataques sencillos y conocidos.

En entornos hospitalarios es habitual el uso de sistemas operativos obsoletos o sin soporte

Por otra parte, las infraestructuras TI, OT e IoT de los entornos sanitarios están cada vez más interconectadas. De hecho, parte de la información se está migrando a la nube, lo que la hace potencialmente accesible desde internet. Esta interconectividad ofrece numerosas ventajas: habilita el intercambio de información entre dispositivos e instituciones médicas, tanto para pacientes como para proveedores, agiliza la coordinación entre centros y permite realizar ciertas gestiones de forma electrónica. Sin embargo, también supone un mayor riesgo de ciberataques.

Por desgracia, la inversión en infraestructura tecnológica en entornos hospitalarios no suele tener la seguridad como un elemento esencial. Es más, los equipos de ciberseguridad responsables, en el caso de que se disponga de ellos, suelen carecer de capacidad para gestionar adecuadamente los riesgos o dar una respuesta apropiada ante ciberincidentes.

Vulnerabilidades detectadas

Desde S21sec llevamos años trabajando en la seguridad del sector sanitario, especialmente en la emulación de ataques en vectores de aproximación de tipo interno (insider) o próximo (proximity attack). A continuación se exponen las vulnerabilidades más frecuentes de entre las detectadas.

La primera está relacionada con dispositivos médicos que cuentan con sistemas operativos obsoletos o mal configurados (con permisos de administración, ausencia de políticas de bloqueo, conexiones USB desbloqueadas, etc.). Además, estos dispositivos suelen resultar accesibles desde zonas comunes o de fácil acceso, no vigiladas por personal de la instalación.

También es común encontrar impresoras mal configuradas, con contraseña por defecto o utilizando protocolos inseguros para el envío de documentos. Si a esto le sumamos conexiones a la red cableada de fácil acceso en zonas comunes, el resultado es un riesgo evidente de que atacantes ubicados dentro de las instalaciones puedan acceder a la red interna.

Las infraestructuras TI, OT e IoT de los entornos sanitarios están cada vez más interconectadas

Igualmente frecuentes son las redes wifi mal configuradas o segmentadas, que permiten acceder a zonas o dispositivos médicos costosos y altamente sensibles. Estas redes también pueden permitir el acceso a zonas de almacén, suministro o gestión, en las que una manipulación indebida podría ocasionar desabastecimiento, gestión inadecuada del material o incluso desatención del paciente.

En ocasiones, estas redes wifi se usan como redes de invitados inseguras, que ponen en riesgo también la seguridad de los usuarios del centro; o incluso de los empleados, que, en ocasiones y por descuido, las utilizan para comunicaciones internas de su operativa diaria.

Finalmente, también encontramos múltiples dispositivos, así como redes de proveedores, fabricantes y servicios que en ocasiones no están controladas y que permiten a los atacantes generar redes falsas para engañar y obtener acceso no autorizado.

Seguridad en el sector sanitario

Es evidente: queda mucho camino por recorrer. No obstante, también lo es que las empresas del sector sanitario trabajan en su desarrollo tecnológico y en mejorar la seguridad (eso sí, en la medida en la que su capacidad inversora lo permite). Además, muchas instituciones trabajan en la creación de marcos para ayudar en este camino, ejemplos de los cuales son la HIPAA Security Rule del NIST, las Guías de buenas prácticas de ENISA, ICS-CERT y sus avisos de vulnerabilidades de dispositivos médicos, etc.

Quizá resulte en exceso ambicioso pedir que las inversiones en seguridad y en desarrollo tecnológico avancen a la par, pero sí es importante entender que la ciberseguridad de las tecnologías que ayudan a proporcionar los servicios sanitarios resulta vital para que estos se presten con garantías y efectividad. Este cambio de mentalidad es el que permitirá priorizar adecuadamente las inversiones en este ámbito.

De hecho, cualquier producto y proyecto tecnológico nuevo debería contemplar la ciberseguridad desde el inicio, aplicando el paradigma de seguridad por diseño o por defecto. Además, para la infraestructura ya operativa, existen medidas que no son especialmente costosas, aunque sí altamente beneficiosas.

En este sentido, es importante dedicar tiempo y esfuerzo a desarrollar e implementar configuraciones seguras, a controlar el inventario tecnológico y de la información que se maneja y a crear zonas seguras y políticas de protección para que los dispositivos no queden desatendidos o en manos maliciosas.

Pero, sobre todo, es muy importante fortalecer la formación en ciberseguridad de todo el personal, también de terceros, haciendo que los empleados entiendan que en sus manos tienen la salud y el bienestar de pacientes y usuarios.