‘Tiritas y vendas’ virtuales para ciberproteger los hospitales

Un hospital no deja de ser una compañía, una empresa más que afronta los mismos riesgos y problemas en ciberseguridad que otra. La única diferencia es que el impacto de un ataque va más allá de lo económico, porque también puede afectar a la vida de las personas.  Cuando en mayo de 2017 se produjo el ataque del WannaCry hubo hospitales en el Reino Unido y en EEUU que estuvieron “bloqueados” más de dos días por esta amenaza. Y esto sucedió a pesar de que no se trató de una ofensiva dirigida concretamente a estos centros, sino de una genérica, un ransomware, en el que el hacker lanzó un malware en todo el mundo.

Aunque los hospitales pueden resultar afectados por ambos tipos de ataques, los dirigidos y los genéricos, la mayor amenaza es el ransomware, que precisamente a partir del WannaCry tomó “un matiz muy interesante” al utilizar una técnica de los 80: “Comportarse como un ‘gusano’ para propagarse”. José de la Cruz, director técnico de Trend Micro Iberia, explica a INNOVADORES que este tipo de ataques “busca equipos vulnerables en internet o en redes corporativas para propagarse”.  

Infectar la red de un hospital no es complicado para un hacker: “Si un administrativo del centro abre un documento de un USB que contiene un ransomware, al conectarlo a su equipo puede infectar su máquina, que aunque no contenga información sensible, sí que está conectada a la red corporativa, por lo que si ésta no está correctamente securizada se puede propagar la amenaza y afectar potencialmente a equipos con informaciones más delicadas”. De la Cruz incide en que este es el verdadero problema de los gusanos, “son piezas de malware que utilizan vulnerabilidades para propagarse dentro de las redes” y son muy difíciles de mitigar, de hecho, “a día de hoy seguimos detectando gusanos de 2008 en redes de clientes”.

En los hospitales este problema se agrava porque utilizan sistemas que no han sido diseñados desde el punto de vista de la ciberseguridad actual. “Por ejemplo, hay equipos de diagnósticos que se instalaron hace 10 años y su software no se ha actualizado ni una sola vez, por lo que las vulnerabilidades detectadas no se han parcheado para mitigarlas”, subraya De la Cruz. Si se propaga un malware en la red corporativa del hospital, estos equipos se pueden infectar, con lo que podría desde inutilizarse el equipo por su bloqueo hasta cifrar la información que se manipula con este dispositivo.

Por ello, los métodos de parcheado tradicional -instalar las actualizaciones del sistema operativo- no funcionan por falta de tiempo, por falta de recursos y también porque suelen ser sistemas tan antiguos que ya no son compatibles con las actualizaciones e, incluso, ya no están ni soportados por el fabricante -De la Cruz habla incluso de Windows 2003-. Sin embargo, estos sistemas “no se pueden cambiar ni actualizar porque la aplicación que está debajo ejecutándose funciona perfectamente y, de actualizarlo, te cargarías el sistema del equipo sanitario en concreto”.

“La solución es el parcheado virtual, es decir utilizar tecnología virtual para bloquear cualquier amenaza que intente explotar una vulnerabilidad que existe. No se instala ningún parche, pero al bloquear los ataques ya conocidos se evita y mitiga su éxito”, detalla el responsable técnico de Trend Micro, que puntualiza que la compañía japonesa está implementado este tipo de soluciones virtuales en hospitales españoles. “El mayor problema son las aplicaciones legacy que ya no tienen ni soporte de software por parte del fabricante, ¿qué puede hacer el hospital con esto? El parcheado virtual es la solución. De hecho, durante le WannaCry nuestros clientes con esta tecnología no resultaron afectados porque se bloqueó la amenaza y no se pudo propagar”.

Se trata de bloquear el ataque, el tráfico ilegítimo, por lo que el administrador que trabaja con esa máquina no nota absolutamente nada. No obstante, De la Cruz advierte de este parche virtual no puede reemplazar el tradicional, porque no soluciona la vulnerabilidad, sino que logra reducir el tiempo de exposición a esa vulnerabilidad. “Cuando se actualice el sistema, el parche virtual desaparecerá al no ser ya necesario, pero si no se va a poder actualizar nunca por problemas de soporte, habrá que dejar el parche virtual como solución definitiva”, puntualiza el técnico.

“Tenemos que tender a la automatización. A todos los sectores les pasa lo mismo, la ciberseguridad es una necesidad y hay que invertir, pero no se toma conciencia de ello y no se invierte hasta que hay un incidente”, lamenta el responsable de Trend Micro, empresa especializada en ciberseguridad. Por ello, ante la falta de recursos humanos De la Cruz aboga por la implementación de soluciones que conlleven una automatización para que proporcionen “visibilidad de lo qué está ocurriendo para poder acotar en caso de incidente y control para mitigar la amenaza sin necesidad de que haya un equipo humano interviniendo o aplicando parches”.