Maneja información sensible -muy sensible- de usuarios finales, lo que la hace atractiva para los ataques de ransomware. Sus sistemas informáticos son, en muchos casos, obsoletos o poco avanzados, lo que la hace vulnerable. Y, además, hay una falta de personal especializado en ciberseguridad en el sector.

¿Qué puede ser más ‘jugoso’ para un hacker de datos: una tarjeta de crédito o un historial médico?

Pues, aunque resulte difícil de creer, el último es mucho más ‘caro’ en los mercados negros digitales. Y es que, si bien la tarjeta de crédito puede ser cancelada a la mínima actividad sospechosa -y muchas entidades bancarias ya previenen y protegen al usuario frente a este tipo de fraudes-, el historial médico no. Se trata de datos personales, privados, no sustituibles y muy serios.

Es por todo ello que las organizaciones sanitarias están siendo uno de los principales objetivos de los ciberdelincuentes en todas partes. En España, el Hospital Clínic de Barcelona ha sido uno de los casos más sonados de los últimos tiempos -un ransomware que ‘secuestró’ los datos de miles de pruebas de pacientes-, pero no el único.

Hace pocos meses, el entramado informático del SERGAS (Servicio Gallego de Salud) sufrió un colapso que afectó a otros tantos historiales clínicos, que quedaron inaccesibles para médicos y farmacéuticos. Y otros grandes centros como el Hospital de Torrejón de Madrid o, saliendo a Europa, el Centro Hospitalario Universitario Saint-Pierre de Bruselas, también han reportado brechas de seguridad (y quizá algunos más que no conocemos).

Según el informe Cybersecurity in the Healthcare Industry de Gartner, el sanitario sería el tercer sector más atacado en todo el mundo (solo por detrás de la administración pública y la educación/investigación), y casi la mitad de las organizaciones ha sufrido una brecha de datos en los dos últimos años.

“Atacar a una organización de este tipo puede ser muy lucrativo, en cuanto a datos ricos, sensibles, y por los que cualquiera estaría dispuesto a pagar. Y aunque cada vez se es más consciente y se utilizan soluciones de ciberseguridad más avanzadas, al sector todavía le queda mucho camino por recorrer en materia de ciberseguridad”, explica Hervé Lambert Global Consumer Operations Manager de Panda Security-.

Principales riesgos

Muchas de estas organizaciones tienen sistemas (hardware, software, infraestructuras en general) anticuados y no preparados para las velocidades digitales actuales, tanto de conectividad como de almacenamiento, y ello causa muchos de los problemas. De entre los principales tipos de ataques que sufre la industria, los más comunes son:

El ransomware:

Este tipo de ataques se ha cebado últimamente con el sector, debido a la naturaleza crítica de los datos de los pacientes y del riesgo tanto de su pérdida por un lado, como de su filtrado por otro. Los requerimientos de seguridad y protección de datos pueden hacer a las organizaciones sanitarias proclives a pagar, lo que aumenta aún más su atractivo para los malhechores.

El phishing:

Es uno de los más comunes. Para el usuario final-paciente es difícil resistirse a ‘pinchar’ en un correo que parece una alerta de su hospital o centro de salud. El robo de credenciales o contraseñas por este medio es común, y con él, la entrada ilícita a los sistemas.


“Atacar a una organización de este tipo puede ser muy lucrativo, en cuanto a datos ricos, sensibles, y por los que cualquiera estaría dispuesto a pagar. Y aunque cada vez se es más consciente y se utilizan soluciones de ciberseguridad más avanzadas, al sector todavía le queda mucho camino por recorrer en materia de ciberseguridad”


Los ataques a la cadena de suministro:

En este caso hablamos de terceras entidades ‘conectadas’ con los centros hospitalarios, como suministradores de material, pero también los centros de análisis de fluidos, los investigadores, etc. La información que debe viajar entre ellos a través de redes informáticas (y que no siempre está debidamente protegida), suele ser también un objetivo de los atacantes.

IoT interno y externo:

Puesto que cada vez hay más dispositivos conectados a sus redes (y no gestionados internamente), el riesgo aumenta también por este lado. Todas ellas pueden suponer un riesgo de salud para el paciente, además del riesgo digital (de robo de identidades, suplantación, extorsión). Para los malhechores, los dispositivos IoT, IoMT y OT, son una presa más fácil, y esto, no solo supone un riesgo para los datos, sino también para la confianza de los pacientes en que sus entidades sanitarias sean capaces de proteger su seguridad digital.

Las amenazas a la nube o al correo electrónico:

Las organizaciones sanitarias subcontratan, cada vez más, los servicios de terceros para gestionar esta parte de sus procesos. Terceros que, si bien pueden ser expertos en los mismos, también son agentes no autorizados para conocer o compartir información como los informes médicos.

“Las causas de la vulnerabilidad de los centros sanitarios están, sobre todo, en los sistemas tecnológicos y barreras de seguridad obsoletas y no actualizadas de nuestros centros sanitarios y hospitales. También falta talento especializado en tecnología, casi siempre, por falta de concienciación, cultura corporativa o de presupuesto”, comenta Lambert.

Soluciones de ciberseguridad para proteger a las instituciones sanitarias

La situación, por supuesto, no es irreversible. Esto ya lo demuestra mucha innovación y desarrollo en esta materia que está, ya, a disposición de las entidades. He aquí algunas de las soluciones que podrían (deberían) implementar para garantizar la seguridad e integridad de la información que se recogen en el informe último de Watch Guard, la matriz de Panda Security:

WiFi protegido para garantizar la seguridad de los dispositivos médicos inteligentes: Cada vez más IoT aplicada a soluciones de atención médica (un holter, por ejemplo) hace que los datos tengan que viajar desde ellos hasta el sistema de análisis y almacenamiento de los mismos. Es crucial evitar fugas o ataques por el camino utilizando hotspots Wi-Fi seguros, que permitan identificar y alertar de posibles riesgos.

Bloqueador de amenazas persistentes: Se trata de sistemas que analizan todos los comportamientos de la red para determinar si un archivo puede ser malicioso mediante su ejecución en un sandbox seguro que permite comprobarlo.

Túneles VPN para la telemedicina: Desde la casa del paciente hasta el archivo del centro médico es necesario que la comunicación esté encriptada y pase a través de firewalls habilitados.

Soluciones de autenticación multifactorial: A día de hoy, según Gartner, solo el 24% de las organizaciones tiene sistemas de autenticación multi factor. Algo esencial en las políticas de protección de cualquier sector. Lo es más aún aquí, para evitar robo de credenciales y filtrado o pérdida de datos, entre otros problemas.

“Nuestra salud está en manos de los médicos, y también en las de los expertos en ciberseguridad hoy día”, concluye Lambert.