Ciberataque en el Hospital Clínic: ¿Están a salvo nuestros datos médicos?
El ciberataque que sufre el Hospital Clínic de Barcelona ha obligado a desprogramar 150 intervenciones no urgentes, anular 3.000 visitas ambulatorias y posponer 400 analíticas de control. Además, el ataque, que es de tipo ramsonware (secuestro de datos), no sólo afecta a las tres sedes del hospital (Villarroel, Platón y Maternidad) sino que se extienden a tres CAPs: Casanova, Borrell y Les Corts.
En este tipo de ataques, los ciberdelincuentes cierran el acceso a los archivos de la información clínica encriptándolos de forma que no se puede acceder a ellos. Después o bien piden rescate a cambio de dar las claves para desencriptar o bien venden la información a terceros. A menudo hacen ambas cosas a la vez. Hay que tener en cuenta que, en la actual era digital, el auténtico oro es la información y que una base de datos financieras o sanitarias de tamaño medio puede venderse en el mercado negro por cantidades que superan el medio millón de dólares.
Los ciberataques en entidades del sector de la salud representan el 40% de los ataques cibernéticos y se están convirtiendo en una práctica delictiva tan frecuente como deplorable. Las violaciones de datos y los ataques de ransomware a las organizaciones de salud de Estados Unidos representan un coste estimado en más de 4 mil millones de dólares. En nuestro país 500 instituciones sanitarias han notificado incidentes cibernéticos de alta peligrosidad y, aunque los técnicos en ciberseguridad han evitado a tiempo más de 50.000 intentos de ransomware en organismos sanitarios públicos, algunos ataques han llegado a conseguir más de 4 millones de euros.
Cualquier ciberataque es reprobable y puede tener graves consecuencias económicas y de reputación para compañías de todos los sectores. Pero un ataque de estas características a un hospital o centro de salud es execrable e incalificable porque origina riesgos incalculables en relación con la atención sanitaria y la seguridad de los pacientes en caso de que estos maliciosos códigos bloqueen o encripten información de sistemas operacionales claves como la Historia Clínica Electrónica, donde reside toda la información médica de un paciente.
La delicada naturaleza de los datos médicos les confiere una importancia primordial para la salud de los ciudadanos más allá de su valor económico más o menos especulativo. Si una empresa logística es víctima de un ciberataque, las peores consecuencias son la suspensión total o parcial del servicio de transporte o la paralización de la cadena de suministro. Pero, para un hospital o centro de salud, esta paralización puede traducirse en graves retrasos en los diagnósticos y tratamientos (imaginamos una intervención quirúrgica urgente que debe ser obligatoriamente aplazada o suspendida), colapso de los centros médicos por imposibilidad de tramitar altas y bajas e incluso una pérdida de informes y datos clínicos esenciales. Cuando se secuestran datos médicos no sólo se causan agravantes legales o económicos, sino que la salud y las propias vidas de las personas pueden verse afectadas. No resulta raro que algunos expertos consideren este tipo de ataques como una forma de ciberterrorismo.
Este tipo de sustos debe hacernos pensar en la urgente necesidad de mejorar la ciberseguridad de nuestras organizaciones sanitarias. Es necesario dedicar más recursos atendiendo a que el entorno informático de nuestros hospitales y centros de salud es, a menudo, un ecosistema vulnerable (muchos todavía emplean softwares desactualizados o no compatibles) y que el crecimiento en la integración de dispositivos médicos conectados a Internet (IoMT o Internet of Medical Things) aumenta el riesgo al representar una mayor superficie vulnerable para ataques informáticos.
La transformación digital ha alcanzado nuestras entidades de salud y su desarrollo es imparable. Sólo hace falta pasear por cualquier centro sanitario para darnos cuenta. Desde los escáneres o RMN que recogen y analizan información en tiempo real hasta las aplicaciones de salud que cada paciente lleva en su teléfono personal. Las grandes organizaciones sanitarias pueden tener más de 26.000 dispositivos conectados a la red. Y esto irá a más. Por tanto, es necesario conocer al enemigo de la confidencialidad de nuestros registros médicos.
El enemigo no es quien muchos ciudadanos creen. No nos enfrentamos a los típicos hackers solitarios, sentados frente a un ordenador tecleando largas líneas de códigos informáticos, sino que se trata de organizaciones cibercriminales muy sofisticadas y con amplio conocimiento del entorno tecnológico que se extienden a nivel internacional y son capaces lanzar ataques de forma indiscriminada ya menudo letal.
Ante un enemigo tan sofisticado y bien organizado es necesario tomar medidas defensivas con urgencia. Por eso la transformación digital debe blindarse con herramientas adecuadas que la defiendan de la forma más segura posible. El esfuerzo debe ser proporcional a la importancia y confidencialidad de los delicados datos que gestiona.
Se requiere mayor inversión por la ciberseguridad de nuestro sector sanitario. Debería ser una prioridad social, económica y política a nivel nacional e internacional, porque cuando un hospital o centro de salud está en peligro, también lo estamos los pacientes que dependemos del mismo.
Se ha de disponer de un inventario de todos los dispositivos conectados en un hospital o centro de salud y tener así una visión de los activos a proteger. Las instituciones médicas deben promover la formación y la concienciación de los profesionales y los pacientes, de modo que sean la primera barrera de seguridad.
Todos estamos implicados. El uso seguro de la tecnología es un reto que no podemos rehuir.
Escribe tu comentario