El sector sanitario es un objetivo cada vez más atractivo para los ciberdelincuentes. Y es algo que hemos visto en las últimas semanas. Según un informe de CrowdStrike, el sector salud se encuentra entre los cinco más atacados y, además, es uno en los que más han crecido los ataques: en 2022, el número de ataques sufrido por organizaciones relacionadas con la salud y la sanidad fue el doble que en 2021. Y el tipo de ataque más utilizado, según el mismo informe, fue ransomware.
Los modelos de ransomware como servicio han favorecido el incremento de los ataques, ya que los criminales ni siquiera necesitan tener conocimientos técnicos para llevar a cabo sus actividades maliciosas: simplemente pueden buscar a un proveedor de ransomware en la dark web y contratar sus servicios. En este nuevo modelo, los desarrolladores de ransomware suelen recibir un porcentaje de la extorsión y, si tenemos en cuenta que un conjunto de datos puede estimarse en unos mil euros, el negocio es suficientemente lucrativo. El alto valor de estos conjuntos de datos se debe a que en el entorno médico se utiliza mucha información confidencial que puede ser luego reutilizada para robar identidades, llevar a cabo fraudes médicos o fraudes en el pago de impuestos, ya que suelen incluir la fecha y el lugar de nacimiento de la víctima, su número de Seguridad Social, la dirección y, en ocasiones, incluso los detalles de la tarjeta de crédito.
Para acceder a las infraestructuras de entornos del sector sanitario, los ciberdelincuentes suelen explotar vulnerabilidades o credenciales, pero también compran el acceso a las redes a otros criminales. Este tipo de servicios de intermediación creció un 112% en 2022, según los datos que maneja CrowdStrike, que encontró más de 2.500 anuncios de venta de credenciales. Una vez que acceden a la red corporativa, los criminales, de media, son capaces de moverse lateralmente en tan solo 1 hora y 24 minutos. Y, en el caso del sector salud, los delincuentes saben que existen recursos muy limitados por parte de los equipos de seguridad, por lo que el acceso suele ser muy eficaz y rápido y, además, como vemos, reportar beneficios muy jugosos.
Para acceder a las infraestructuras de entornos del sector sanitario, los ciberdelincuentes suelen explotar vulnerabilidades o credenciales
Por eso, es fundamental que las organizaciones sanitarias comprendan que necesitan mejorar sus estrategias de seguridad e inviertan en la protección de sus infraestructuras. Teniendo en cuenta tan solo cinco puntos esenciales, más de la mitad del camino estaría recorrido:
- Proteger completamente las cargas de trabajo. Los aspectos más críticos en cualquier organización son el endpoint, las cargas de trabajo, las identidades, los datos y el almacenamiento. Con una solución de detección y respuesta extendida se facilita la recogida de datos para su análisis relacional; además, permite la visibilidad completa y promueve respuestas unificadas incluso frente a las amenazas más sofisticadas y ocultas.
- Apostar por la confianza nula. Según informes de CrowdStrike, alrededor del 80 % de los criminales utiliza ahora mismo ataques basados en identidades para comprometer credenciales legítimas y moverse libremente por la red evadiendo la detección con sistemas tradicionales de seguridad. Por eso, un enfoque zero trust, o de confianza nula, puede prevenir los ataques basados en identidades en tiempo real.
- Promover la protección proactiva. Los datos existentes sobre amenazas pueden ayudar al sector sanitario a defenderse contra la mayoría de atacantes y facilitan la protección proactiva a partir del análisis de comportamientos en las intrusiones más usuales. Con un equipo externo de seguridad, se puede mejorar también el rendimiento gracias a los servicios de respuesta ante incidentes, recuperación del endpoint y análisis proactivo de la red.
- Confiar en tecnologías innovadoras. Los ciberdelincuentes no dejan de invertir en mejorar sus técnicas de ataque, por lo que la protección de las infraestructuras sanitarias debe estar también en constante evolución. Un ataque de hoy no puede mitigarse con una tecnología de ayer: los antivirus que se basan en firmas, por ejemplo, dejaron de ser eficientes hace ya mucho tiempo. Las tecnologías basadas en Inteligencia Artificial y Machine Learning, sin embargo, son capaces de determinar si una acción es maliciosa gracias al análisis del comportamiento o a otras características fácilmente observables.
- Realizar pruebas para responder de forma efectiva en caso de emergencia. Si la organización sanitaria tiene las mejores infraestructuras de protección, mitigación y recuperación, pero no sabe ponerlas en marcha, la estrategia es, evidentemente, inútil. Por eso, realizar simulacros para ayudar a todo el personal a identificar una amenaza y conocer los protocolos de información son esenciales.
Por Drex DeFord, responsable de soluciones para el sector sanitario en CrowdStrike