La ciberseguridad en hospitales está en entredicho. Y es que el año 2016 comenzó con muchos incidentes de seguridad que afectaron a hospitales y equipos médicos, según los expertos de Kaspersky Lab. En sólo dos meses se descubrió un ataque de ransomware a un hospital de Los Ángeles y dos de Alemania, una intrusión al monitor y dosificador de medicinas de un paciente y otro ataque a un hospital de Melbourne, entre otros casos.
Para Kaspersky Lab, estos ataques no son una sorpresa. La industria del Internet de las Cosas está en aumento y la seguridad de los dispositivos médicos es uno de los temas que más inquieta, ya que son ordenadores que incluyen sistema operativo y una serie de aplicaciones; la mayoría están conectados a Internet, a redes externas y a diferentes tipos de servidores en la nube. Cuentan con tecnologías de última generación con un único fin: ayudar a tratar a pacientes con la mejor calidad posible. Pero, al igual que los demás sistemas industriales, los dispositivos médicos están construidos con el objetivo de ayudar en el desarrollo de las ciencias médicas, dejando la seguridad informática en segundo o hasta tercer plano.
Ciberseguridad en hospitales: Graves consecuencias
El acceso no autorizado a estos dispositivos podría tener efectos muy graves: no sólo pone los datos personales al alcance de los ciberdelincuentes, sino que también podría afectar de forma directa la salud y hasta las vidas de los pacientes. A veces asusta lo fácil que es irrumpir en los sistemas de un hospital, robar la información personal de un dispositivo médico o acceder a él para entrar en el sistema de archivos, interfaz del usuario, etc. En un ataque dirigido, los cibercriminales podrían tener acceso total a la infraestructura médica de un centro de salud y manipular los resultados de los sistemas de diagnosis o tratamiento. En muchos casos, los doctores dependen mucho de estos sistemas, por lo que su manipulación podría derivar en tratamientos erróneos en un paciente.
Además, podría derivar en:
- El uso criminal de los datos personales del paciente: re-venta de información a terceros o exigir a la clínica el pago de un rescate para recuperar la información sensible robada
- La falsificación de los resultados del paciente o sus diagnósticos
- Puede causar tanto daño físico a los pacientes y enormes pérdidas financieras a una clínica
- El impacto negativo en la reputación de una clínica
La ciberseguridad en hospitales está en entredicho y este año veremos un aumento de los ataques a centros médicos, que incluyen ataques dirigidos, infecciones de programas ransomware, ataques distribuidos de denegación de servicio incluso algunos que pueden causar daño físico a los dispositivos médicos.
Durante el evento Kaspersky Security Analysts Summit, se comprobó lo sencillo que es conseguir acceso a las redes internas de un hospital y tomar el control de un aparato de resonancia magnética para acceder al sistema de ficheros del dispositivo y obtener los datos personales de sus pacientes y la información sobre sus tratamientos. El problema supera la inseguridad de los equipos médicos – toda la infraestructura informática de los hospitales modernos tiene problemas de organización y protección, y esta situación es de alcance mundial.
Los tres principales fallos detectados en los centros de salud y que afectan a la ciberseguridad en hospitales son:
El acceso a Internet con poca o ninguna autorización: existen varias formas de detectar vulnerabilidades en los equipos; por ejemplo, usando el motor de búsqueda Shodan. Si se utiliza bien esta herramienta, se pueden encontrar miles de dispositivos médicos expuestos en Internet: es así como un hacker puede descubrir escáneres de resonancia magnética, equipos de cardiología y aparatos de radiología conectados a la red. Muchos de estos dispositivos siguen operando con Windows XP y tienen decenas de vulnerabilidades viejas sin parchear que podrían comprometer por completo un sistema remoto. Es más, algunos equipos todavía usan las contraseñas predeterminadas de fábrica, que son fáciles de encontrar en manuales publicados en la red.
Dispositivos no protegidos: se descubrieron en el hospital varios puntos de acceso Wi-Fi. Uno de ellos tenía una contraseña débil que se pudo crackear en dos horas, entrar en la red interna del hospital y encontrar los mismos equipos médicos que se habían descubierto por Internet, pero con una gran diferencia: ahora sí era posible conectarse a ellos porque la red local era de confianza. Los fabricantes de dispositivos médicos, cuando crean un sistema completo, los protegen del acceso interno. Pero por alguna razón creyeron que cualquiera que trate de acceder a ellos desde dentro es de confianza. Este es un gran error: no hay depositar toda la confianza en los administradores del sistema y en su forma de organizar la protección interna de las redes de un hospital.
Vulnerabilidades en la arquitectura de los programas: otro factor que influye en las vulnerabilidades de las aplicaciones son las versiones obsoletas de sistemas operativos y las dificultades en la gestión de los parches. Este es un entorno muy diferente al de la estructura informática estándar de PCs o dispositivos móviles; no se puede instalar un parche en un dispositivo médico con la misma facilidad. Es un proceso manual complejo y, en muchos casos, se necesita a un ingeniero cualificado en el hospital que ayude a actualizar el sistema y evaluar que los dispositivos estén funcionando como es debido después de la actualización. Esto consume tiempo y dinero, por lo que es esencial crear un sistema bien protegido desde el principio – en la etapa de desarrollo – que tenga aplicaciones con la menor cantidad de vulnerabilidades posible.
Consejos Kaspersky Lab para el personal informático para garantizar la ciberseguridad en hospitales:
- Tener en cuenta que los cibercriminales están atacando a los hospitales con cada vez mayor frecuencia; leer sobre estos incidentes y fijarse en si podrían usar esos mismos métodos para comprometer sus propias infraestructuras.
- Cumplir todas las políticas de seguridad informática y desarrollar estrategias para evaluar vulnerabilidades y administrar parches a tiempo.
- No centrarse sólo en proteger su infraestructura de los ataques externos de malware y hackers; también es necesario mantener un control estricto de las actividades internas de la red local: es primordial saber quién tiene acceso a qué, y otros detalles que podrían afectar los sistemas locales.
- Utilizar contraseñas seguras para proteger todos los puntos de conexión externos;
- Proteger las aplicaciones de equipos médicos en la red local con las contraseñas en caso de un acceso no autorizado a la zona de confianza;
- Proteger la infraestructura de amenazas como el malware y ataques de hackers con una solución de seguridad fiable;
- Hacer copia de seguridad de la información crítica con regularidad y mantener una copia online adicional