¿Está el sector sanitario indefenso ante la amenaza de los ciberataques?

Ya desde marzo del año pasado hemos podido observar cómo las citas telefónicas o por videollamada sustituían a las visitas presenciales al médico, o cómo se extendía el uso de las recetas electrónicas o el de los dispositivos tecnológicos para el control remoto de enfermedades crónicas. Si bien, debido a la pandemia, la incorporación de la tecnología se ha convertido en prioridad, la acelerada digitalización ha podido entrañar algunos riesgos.

Ante el rápido proceso de transformación digital se han multiplicado los fallos informáticos y se ha incrementado la vulnerabilidad de algunos sistemas ante ciberataques. De hecho, según el Instituto Nacional de Ciberseguridad de España (INCIBE), el año pasado se produjo un aumento del 48% de los ciberataques dirigidos contra el sector sanitario: en total más de 500 instituciones españolas notificaron incidentes, algo que los expertos achacan a esta digitalización casi forzosa.

En la publicación más reciente del Libro Blanco de la Ciberseguridad Sanitaria se concluye que la ciberseguridad es ya un aspecto determinante para la continuidad asistencial y la protección de los datos de los pacientes. La publicación, elaborada por Sham (grupo Relyens), Risk Manager especialista de los actores del sector sanitario y socio-sanitario, es un informe que analiza el estado actual del ciberriesgo de las instituciones sanitarias en España y Francia.

Más de la mitad de los incidentes notificados no son maliciosos

Cuando hablamos de ciberriesgo podemos pensar en ataques de piratas informáticos con fines maliciosos, sin embargo, el término contempla también incidentes como fallos informáticos que, si bien no tienen un origen maligno, pueden poner en peligro datos privados de los pacientes.

Este tipo de incidentes no maliciosos suponen el 57% de los incidentes notificados por el sector sanitario en 2019, según los datos de INCIBE. Se trata, principalmente, de errores informáticos en los programas de prescripción y dispensación de medicamentos y, la segunda causa más común de incidentes el año pasado, indica el estudio de Sham, fue la pérdida de acceso a Internet y el corte de las comunicaciones en los centros sanitarios.

Situaciones como estas derivan en el aislamiento 'tecnológico' de los centros sanitarios, además de imposibilitar el acceso a datos como historiales clínicos, resultados de laboratorio o plataformas radiológicas. Apunta este mismo informe que también se ha advertido un aumento en los fallos de funcionamiento en las infraestructuras de apoyo a la atención sanitaria como los sistemas de gestión de las llamadas de emergencia.

Menos del 1% de los ataques tuvieron éxito

Incluso si la mayoría de casos son de carácter no malicioso, sí se ha producido en el último año un aumento de los incidentes de tipo malware, ramsonware, ataques mediante denegación de servicio o escuchas maliciosas, advierte el informe de Sham (grupo Relyens). En él se recuerda también que durante el primer confinamiento muchos de los mensajes que se transmitían sobre la pandemia eran virus informáticos: un estudio de la Agencia Digital de la Salud de Francia analizó el problema y mostró que el 7% de los 1,2 millones de nombre de dominio vinculados a la palabra Covid-19 eran maliciosos.

En España se detectaron el año pasado hasta 50.000 ataques dañinos contra instituciones del sector sanitario, aunque tan solo 375, menos del 1%, resultaron exitosos. Los principales riesgos que entrañan ataques como estos son el robo de datos médicos personales (el 43% de los incidentes registrados tuvo un impacto en la información privada de los pacientes, y el 11% de los mismo podrían haber provocado lesiones con riesgo para la salud de los pacientes, según el informe de Sham), además de una posible paralización de la actividad médica que tendría consecuencias también en la economía y reputación de las instituciones.

Debido a la transformación digital 'acelerada' vivida en el último año, se han ido incorporando nuevas áreas susceptibles de ser atacadas por ciberdelincuentes. El elemento más vulnerable a un ciberataque es, según el citado informe, los dispositivos médicos conectados, puesto que se trata de sistemas diseñados para largos periodos de uso, y cuyo diseño no contemplaba la actual conectividad del sector sanitario. A menudo resulta difícil implantar una actualización de software en estos dispositivos, de manera que los sistemas quedan anticuados y menos preparados para resistir un ciberataque.

Soluciones ante un ciberataque

Existen dos vertientes principales para establecer una estrategia de protección del sistema de salud. Por un lado, la ciberseguridad, es decir, la prevención y reducción de riesgos a través de soluciones de seguridad informática. Las recomendaciones de Sham en este aspecto pasan por prepararse ante las amenazas analizando los riesgos y estableciendo medidas y herramientas preventivas que permitan responder a un posible ataque. En este sentido, explica Laura Prats, Cyber Risk Manager de Sham en España que "las amenazas se están sofisticando más aún que los propios avances tecnológicos y es primordial para las instituciones sanitarias tener inventariados los riesgos, establecidos unos protocolos y ser conscientes de que cualquier resquicio o descuido del personal de la organización puede ser óbice para un ciberataque".

Por otro lado, hemos asistido a la popularización del concepto de ciberresiliencia, es decir, "la capacidad de minimizar las consecuencias de los incidentes que no se puedan evitar", tal como indica Sham en su informe. Una institución sanitaria se define como resiliente "cuando es capaz de seguir funcionando, aunque se produzca un fallo, un mal funcionamiento o un ciberataque", apunta la publicación.

Pensando ya en el desarrollo y evolución de los sistemas informáticos para los próximos años, las conclusiones de varios expertos recogidas en el Libro Blanco de la Ciberseguridad coinciden en que los centros sanitarios y socio-sanitarios van a tener que realizar importantes inversiones en sistemas de protección. Esto requiere, además, un mayor compromiso por parte de los responsables, para que la ciberseguridad sea parte esencial de la gestión de los sistemas de salud.