Los ciberataques a los sistemas sanitarios se han multiplicado en el transcurso de la pandemia, amenazando con colapsar la actividad de los profesionales de la salud justo en un momento de emergencia y altísima presión asistencial. A lo largo de 2020, cientos de hospitales en todo el planeta se vieron afectados por una cadena de ataques informáticos que, en algunos casos, pusieron en serio peligro la vida de los pacientes.

Solo en España, el pasado año se contabilizaron decenas de ataques a hospitales. Pero no es un “mal endémico”, ya que, a su vez en el país vecino, Francia, el número de intromisiones registradas alcanzó casi la treintena en 2020. Pero la insistencia de los ciberdelincuentes parece no encontrar límites y en lo que va de 2021, la sanidad gala sigue siendo víctima de, al menos, un ataque cibernético a la semana.

Como el resto de las empresas y organizaciones, las instituciones sanitarias están sometidos a una creciente dependencia de la tecnología para desarrollar sus procesos, tanto desde el punto de vista clínico como administrativo. Esto se debe a que, principalmente, por sus funciones, estas instituciones deben estar operativas 24 horas al día, los siete días de la semana y, por supuesto, los sistemas informáticos que dan vida a sus equipos y herramientas de diagnóstico, también. Este ecosistema de equipamientos, dispositivos, softwares y herramientas deben estar conectados, en muchos casos, con sistemas externos, conformando un complejo entramado de alta criticidad que es preciso tener bajo control en todo momento.

A la indispensable necesidad de contar con sistemas segmentados, aunque interconectados, y el creciente abanico de equipos médicos informatizados, se suma la criticidad que representa la historia clínica de cada paciente. Datos muy sensibles que son considerados por los cibercriminales información muy valiosa para realizar actividades ilícitas, sirviéndoles para cometer una serie de fraudes con el objetivo de sacar beneficio económico. Además, el robo de datos clínicos pone en serio compromiso la seguridad del paciente, ya que puede ver su identidad suplantada o información sensible desvelada.

Este problema ha puesto en guardia a las autoridades, que han habilitado distintos recursos para minimizar su impacto y consecuencias. En este sentido, el Reglamento General de Protección de Datos (GDPR), aprobado en mayo de 2018, exige a los hospitales – sean públicos o privados – que avisen a las autoridades – concretamente, a la agencia de protección de datos – y, por deferencia, a sus homólogos en caso de ciberataque. El objetivo es claro: alertar a los demás miembros del sistema para que estén precavidos y fortalezcan sus entornos, así como evitar posibles usos indebidos de la información que hayan podido llegar a sustraer de pacientes.

Mientras que los sistemas sanitarios de las CCAA pueden disponer de recursos para detectar, prevenir, afrontar e investigar estos ataques, otras instituciones médicas de menor tamaño pueden verse mucho más expuestas. Para pedir ayuda pueden recurrir al CCN-CERT, un organismo dependiente del CNI que vela por la ciberseguridad de las AAPP y las empresas del país con el fin de evitar en la medida de lo posible un impacto pernicioso en la sociedad.

Un riesgo latente

Un estudio realizado por la HIMSS en Estados Unidos a partir de las respuestas de profesionales de más de más de 150 hospitales, señala como causas fundamentales para atacar un hospital el robo de identidad de los profesionales de la medicina, la comercialización de información sustraída e, incluso, el acceso no autorizado y robo de información sobre los pacientes.

En este momento de crisis sanitaria, la mayor parte de los ataques que están sufriendo los centros hospitalarios son de ramsomware (secuestro de datos en español), que introducen un programa malicioso en el sistema, el cual aísla y cifrar los datos de cara a restringir el acceso a los archivos del sistema operativo infectado como medio para exigir el pago de un rescate, como ha sucedido recientemente en el Servicio Público de Empleo Estatal (SEPE) que ha paralizado su actividad en un momento crucial para la sociedad.

Estas incursiones de hackers resultan muy perjudiciales para el sistema sanitario, y más en este momento con la alta incidencia de la COVID-19, ya que fracturan su operativa y les deja fuera de juego, dañando también su reputación. Todo ello sin olvidar que restaurar los sistemas genera un elevado coste económico y social.

Las vulnerabilidades tienen su origen normalmente en tres factores: el humano derivado de, por ejemplo, uso del personal de los sistemas del centro para enviar correos personales o usar una red wifi no segura; el tecnológico, debido a fallos en el software o en los recursos TI del centro y no tener una adecuada segregación de las redes; y el legal, por efecto de ineficiencia en el cumplimiento normativo.

Conociendo los tres ejes sobre los que pivotan las amenazas es preciso actuar para poner remedio. En este sentido, es importante contar con una visión teórica de los posibles riesgos de seguridad, porque si no se detectan es difícil poder atajarlos y evitar los daños que ocasionan tanto a nivel operativo o legal, como en cuanto a posibles pérdidas de vidas. Esto se puede conseguir mediante simulaciones de posibles escenarios.

Además, es fundamental formar al personal sanitario sobre los potenciales peligros de no hacer un uso correcto de los sistemas electrónicos e informáticos de los centros en los que prestan sus servicios, y contar siempre con sistemas actualizados y bien mantenidos desde el punto de vista técnico.

Pero ¿qué sucede una vez que se ha producido el ataque, es decir, mientras se soluciona el problema o se accede a las presiones de los atacantes virtuales?

Mientras el hospital reacciona a la afectación de sus infraestructuras críticas, que en el mejor de los casos ocurre entre 24 y 48 horas, los servicios de los centros sanitarios se ven gravemente mermados e incluso inoperativos, obligando a posponer intervenciones, retrasar pruebas o trasladar pacientes a otros hospitales, con los consecuentes riesgos y consecuencias para la atención sanitaria, la imagen pública del centro y, sobre todo, la seguridad de los enfermos.

Pagar el rescate es una práctica muy poco recomendable, porque de ningún modo las empresas o instituciones pueden colaborar a engrosar los movimientos que sostienen a la ciberdelincuencia.

Inversión en infraestructura, garantía de éxito

En este contexto, y en pleno siglo XXI, los hospitales no pueden pasar por alto la necesidad de adoptar medidas serias, estratégicas y estructurales dirigidas a proteger su entorno, ya que una caída o no disponibilidad de las tecnologías y los equipamientos puede derivar en una amenaza grave para la continuidad operativa de la organización y, consecuentemente, impactar de modo negativo en la atención oportuna y de calidad a los pacientes. Esto exige dos cosas: tener ganas de innovar y, por supuesto, inversión.

Vital para el desarrollo de la práctica hospitalaria, la inversión en transformación y digitalización es crucial para alcanzar un servicio hospitalario moderno y de calidad. Fundamentalmente, tal inversión ha de destinarse a formación de las personas, al desarrollo y ejecución de planes de contingencia, a segregar redes, y a aislar elementos para que solo el personal autorizado pueda tener acceso a determinados datos, o aplicaciones. Solo blindando el entorno con sistemas de seguridad perimetral será posible reducir el número de accesos indeseados e ilegales que, de forma permanente, están experimentando los hospitales. Llegar a esta meta significará que un jefe de UCI, por ejemplo, solo podrá acceder a los equipos de UCI si lo hace desde un equipo fiable, con software seguro, puntualmente actualizado y correctamente mantenido, que permita anticipar posibles incidentes.

Y ¿cómo se llega a esta prevención?  A través de la tecnología, que sienta las bases para detectar, gestionar y corregir las vulnerabilidades. En esta línea, resulta vital el desarrollo de un plan de continuidad de negocio, la tenencia de las oportunas copias de seguridad y mecanismos de restablecimiento de los sistemas, que permitan gestionar los riesgos de modo eficiente y seguro.

En ningún caso la ciberseguridad debe contemplarse como un hándicap para el proceso de digitalización de los hospitales y sistemas sanitarios de todo del mundo. Más bien debe verse como el camino para monitorizar y proteger los datos de los pacientes y de las infraestructuras críticas, haciendo uso de tecnologías probadas que permiten optimizar el control de accesos, bloquear ataques y prever posibles agujeros por donde alguien no invitado pueda colarse.

Nadie concibe la posibilidad de privar a las personas de los avances de la tecnología por miedo a potenciales ataques. Por ello, se debe poner el foco en la ciberseguridad como pieza clave en el proceso de transformación digital que los centros sanitarios deben afrontar, del mismo modo que lo están asumiendo el resto de los sectores de actividad en todas las latitudes del planeta. Seguir las directrices del Esquema Nacional de Seguridad (ENS) y/o del Cybersecurity Framework de NIST de EE. UU. permitirá a empresas e instituciones comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos.

Zero Trust, confianza cero

No es de extrañar entonces que los encargados de la protección de las redes hospitalarias tengan muy presente que la seguridad al 100% es imposible de garantizar. Es una realidad comúnmente aceptada que los ciberdelincuentes están mucho mejor preparados para cometer delitos que las entidades para adelantarse a ellos y detener sus ataques. Adelantarse es una de las principales claves para lograr que toda estrategia de ciberseguridad pueda implantarse con éxito. Siempre con el fin de minimizar los riesgos derivados del firme propósito que tienen los ciberdelincuentes de atravesar sus defensas.

Se podría pensar que esta es una aproximación a la ciberseguridad que tiene como punto de partida el fracaso. Pero lejos de ser así, es una aproximación realista, que cobra una mayor entidad cuando se aplican políticas basadas en arquitecturas ideadas bajo un enfoque de confianza cero, es decir, un abordaje de la seguridad diseñado bajo la premisa de que cualquiera de las infraestructuras y dispositivos que se conectan a la red hospitalaria es una amenaza que compromete la seguridad de todo el hospital. Los despliegues Zero Trust realizan simulaciones de un equipo infectado con la idea de detectar una intrusión y dificultar la propagación mediante la monitorización continua de la intrusión para dar una respuesta acorde.

Ningún experto en ciberseguridad que sepa y entienda los riesgos reales asociados a los ciberataques puede garantizar al 100% la infalibilidad de ninguna estrategia adoptada en ciberseguridad, de ahí que las estrategias de Zero trust se estén adoptando de forma masiva en una amplia variedad de organizaciones, incluidos los hospitales y en todo el sistema sanitario, ya que – además- cuentan con la ventaja de que la seguridad Zero Trust se apoya en tecnologías ya existentes, por lo que no es preciso el desarrollo de nuevas herramientas.

La arquitectura de confianza cero se sustenta sobre 4 pilares básicos: verificación del usuario, del dispositivo, limitación del acceso vía configuración de credenciales y la capacidad analítica de aprender y adaptarse. Con esta aproximación de confianza cero se opera como si todos los sistemas hubieran sido vulnerados, es decir, sin fiarse de ninguno. Por ello, cada conexión exige un certificado. No bastaría con mostrar el usuario y la contraseña, exige más: algo que sabes (usuario), algo que tienes (contraseña enviada al dispositivo) y algo que ves (reconocimiento facial o de huella dactilar). En una red que plantea su seguridad con una estrategia de Zero Trust, los usuarios operan a través de privilegios mínimos, es decir, que cada usuario recibe la cantidad mínima de acceso necesaria para el desempeño de sus tareas y no va a tener acceso a toda la red.

Esta información del contexto para controlar los accesos a los datos, a la red corporativa, a los dispositivos permiten -a través de a la configuración de credenciales- delimitar quién accede, a qué recursos, a través de qué tipo de dispositivo y desde dónde. El manejo de esta información contextual permite asociar toda una serie de atributos a ese perfil que permitan su rápida identificación de forma automática. Algo que -en paralelo- permite liberar de trabajo a los equipos de TI del sistema sanitario en general, y de los hospitales en particular.

Si antes la seguridad se basaba en la protección del perímetro, Zero Trust promulga la necesidad de mantener la seguridad tanto fuera como dentro del mismo. Este uso creativo de la tecnología, combinado con herramientas basadas en IA para el análisis del comportamiento de la red, permiten plantear estrategias de defensa más robustas, ya que sabiendo cómo se comporta de forma natural una red, y los dispositivos que están conectados a ella, se puede determinar si cualquier variación en ese comportamiento puede ser indicativa de algo sospechoso, lo que nos permitirá aislar los dispositivos  con problemas, evitando de ese modo que la totalidad de la red pueda ser comprometida. Además, un sistema de Zero Trust debe ser capaz de aprender y adaptarse, de modo que se le ha de suministrar la información necesaria sobre los usuarios, los dispositivos, las aplicaciones y qué es lo que hacen, las políticas y todas las actividades relacionadas con ellos, para alimentar así el aprendizaje automático. De este modo, el sistema podrá reconocer comportamientos fuera de lo común para generar una señal de advertencia que requiera una segunda forma de autenticación.

Otro aspecto clave en la “securización” de los sistemas hospitalarios radica en la infraestructura de red. Estas – externas e internas, las de medicina y telemedicina – deben estar segregadas para que en caso de que una quede afectada, las demás no lo estén. Así, los perímetros de seguridad y los componentes de la red se segregan en segmentos de acceso individuales, lo que habilita a los usuarios para acceder a una parte de la red, pero no a otras.

Implementar Zero Trust en las redes hospitalarias puede traer -además- toda una serie de beneficios en materia de ciberseguridad ya que cubre una gama más amplia de superficies de ataque, tanto usuarios, como dispositivos, redes y recursos, aumenta la agilidad empresarial a través de la adopción segura de la nube y las soluciones móviles, administra de manera más adecuada el riesgo de exponer aplicaciones sensibles, e identifica de forma automática el riesgo a través de comportamiento no habituales y -por si fuera poco- requiere menos administración y personal cualificado, lo que redunda en una notable reducción de costes que un hospital puede dedicar a reforzar sus recursos para atender más y mejor a más pacientes.