Ciberataques contra las infraestructuras de salud críticas
6 de febrero de 2024 | Preguntas y respuestas
Un ciberataque es un intento de dañar deliberadamente a una persona o una organización atacando sus sistemas digitales (por ejemplo, computadoras) con el fin de robar, manipular o destruir datos o aplicaciones considerados confidenciales o esenciales, o de interrumpir el acceso a tales datos. Los ciberataques son más comunes cuando la persona o la organización cuenta con sistemas conectados a Internet. Los autores de los ciberataques suelen tratar de engañar a las personas para que les den acceso a estos sistemas, enviándoles correos electrónicos con archivos adjuntos o enlaces que parecen legítimos, pero que, al pinchar en ellos, dan al atacante acceso a la computadora de la persona o a la red de la organización.
Hace relativamente poco tiempo que los servicios de salud han empezado a ser objetivo preferente de los ciberataques. Cada vez más, estos servicios, como los hospitales, los centros de salud y los seguros médicos, pasan por una transformación digital que beneficia a los pacientes y aumentan la costoeficacia de sus servicios. Sin embargo, con frecuencia esa transformación sucede sin prestar la atención necesaria a los riesgos que conlleva. La gran cantidad de información digital esencial que conservan los servicios de salud (por ejemplo, en los sistemas de seguimiento de los pacientes o las historias clínicas electrónicas), junto con las carencias en materia de seguridad (falta de sensibilización del personal y de garantías técnicas), los convierte en un objetivo apetecible para los ciberdelincuentes. Para estos, resulta fácil impedir el acceso a unos datos y sistemas que se necesitan en todo momento y pedir un rescate. En el último decenio, los ciberdelincuentes han aprendido a explotar esas carencias de seguridad a gran escala. Durante la pandemia de COVID-19, en muchas organizaciones sanitarias se hizo necesario aumentar el uso de sistemas digitales y poder acceder rápidamente a los datos de los pacientes, un hecho que aprovecharon los ciberdelincuentes para atacar los servicios de salud, pues pensaban que era muy probable recibir un pago rápido debido a la importancia fundamental de los datos y sistemas que bloqueaban en los ataques.
Un programa secuestrador es un tipo de programa malicioso que infecta los sistemas digitales y, mediante el cifrado de información clave, impide que los usuarios finales accedan a sus datos y aplicaciones. Los autores piden el pago de un rescate a cambio de devolver el acceso. Suelen pedir pagos en criptomonedas, pues son más difíciles de rastrear para las autoridades judiciales.
Los ciberataques pueden tener diversas repercusiones. Pueden perjudicar directamente a la seguridad de los pacientes y la prestación de atención de salud de diversas maneras. Por ejemplo, cuando una organización del sector de la salud es víctima de un ciberataque, los atacantes pueden acceder a datos confidenciales de los pacientes, como información personal, historias clínicas e incluso información financiera. En algunos casos extremos, los ciberataques han llevado incluso al cierre de establecimientos de salud enteros, poniendo en riesgo la vida de los pacientes. Los ataques de programas secuestradores que bloquean el acceso a sistemas informáticos críticos del sector de la salud causan trastornos que pueden provocar la cancelación de citas ambulatorias y de operaciones quirúrgicas programadas. En los ataques más graves, los servicios de urgencias han tenido que rechazar la entrada de ambulancias y los centros oncológicos han debido posponer el tratamiento de sus pacientes. Recientemente, se han producido ciberataques para robar historias clínicas de salud mental; los autores acabaron publicando los datos confidenciales en línea, lo que demuestra que los ciberataques pueden tener consecuencias para la salud física de las víctimas, pero también para su salud mental.
La cadena de suministro de la atención de salud no se limita a los hospitales y los centros de salud. También abarca a empresas de biotecnología, empresas de logística, fabricantes de vacunas, instituciones de investigación académica, empresas farmacéuticas, laboratorios de diagnóstico, proveedores de soluciones tecnológicas para la salud, proveedores de infraestructuras digitales y fabricantes de dispositivos médicos. Cada vez más conectadas gracias a las tecnologías digitales, todas estas organizaciones ya han sido blanco de ciberataques.
La madurez en ciberseguridad es el nivel de preparación de su organización para defenderse a sí misma y a sus activos digitales contra los ciberataques. Durante la pandemia de COVID-19, ningún continente se libró de este tipo de ataques y el sector de la salud sigue siendo el que más ataques recibe, incluso después de la pandemia. Cuanto más maduro sea su programa, mejor podrá atenuar las amenazas digitales y garantizar el funcionamiento normal de sus operaciones a pesar de las amenazas y los desafíos cibernéticos. En un momento en que las amenazas se multiplican y la inteligencia artificial se despliega a gran velocidad, resulta indispensable contar con medios sofisticados para lograr la madurez en materia de ciberseguridad.
Es importante que los Estados Miembros y el sector sanitario estudien maneras de mejorar su madurez cibernética para estar preparados ante posibles ciberataques. Esto supone invertir en los medios humanos, los procesos y la tecnología, por ejemplo, ofreciendo sesiones de sensibilización sobre ciberseguridad y elaborando planes de respuesta en caso de ciberataques, que servirán de base para hacer ejercicios de simulación con el personal. Es fundamental aumentar la comunicación y la colaboración con los organismos encargados de hacer cumplir la ley (como la policía o INTERPOL), los organismos gubernamentales (por ejemplo, el organismo de ciberseguridad, el instituto de salud pública, el organismo nacional para la seguridad de los medicamentos y los productos sanitarios o el organismo de seguridad nuclear), el sector privado y las organizaciones no gubernamentales; estas entidades pueden proporcionar alertas sobre los ciberataques en curso.
Sí, un ciberataque contra un hospital supone un ataque contra un establecimiento de salud. La OMS define una agresión como cualquier acto de violencia verbal o física, amenaza de violencia u otro tipo de violencia psicológica, la obstrucción que interfiere con la disponibilidad, el acceso y la prestación de servicios de salud curativos y/o de prevención. Existen diferentes tipos de ataques, que pueden verse en esta infografía (en inglés).
