Las ventajas que ofrecen la aplicación de la interoperabilidad, los dispositivos móviles, el Big Data o el Internet de la Cosas suponen también una amenaza para el sistema sanitario. Los datos de los pacientes han despertado el interés de los cibercriminales. Representan un negocio en el mercado negro. Expertos en ciberseguridad calculan que su coste es 10 veces superior que el de los datos bancarios o de la tarjeta de crédito.
El motivo de tan alto coste es su utilidad. Los principales usos de estos datos robados son la consecución de prescripciones falsas de medicamentos, así como la estafa al seguro a través de la creación de falsos pacientes. “El objetivo de los ataques es el dinero” y se acentúan en aquellos sectores más vulnerables, explica Guillermo Fernández, ingeniero preventa de la compañía Watch Guard Iberia. En su mayoría, el sector sanitario no se encuentra bien protegido contra el cibercrimen. “Por un lado, invierte muy poco en seguridad y, por otro, es más rentable en el mercado negro”, añade Fernández.
Un informe de principios de este año de la compañía IBM titulado ‘Tendencias de seguridad en la industria de salud’ pone de manifiesto que el sector sanitario sufrió entre enero y octubre el mayor número de ataques, por encima de otras áreas como servicios informáticos, administraciones públicas o actividades financieras.
Hospitales de todo el territorio nacional cuentan con equipamientos y ordenadores con sistemas operativos obsoletos como el Windows 95 o 98, que resultan muy complicados de proteger. “El sector sanitario no está bien protegido en comparación con otras industrias”, señala Luis Corróns,director técnico de PandaLabs. Pero el problema no es exclusivo del sistema sanitario español. Los medios de comunicación se han hecho eco en el último año de los ataques recibidos en el Centro Médico Presbiteriano de Hollywood o en el Hospital de Cardiología de Kansas, entre otros. Ambos centros sufrieron ataques de malware que impedían al usuario la utilización de su información. La recuperación de los datos obligó a los responsables al pago de un rescate.
Obligación de comunicar
“En España hay una falsa sensación de seguridad porque no hay noticias de ataques contra hospitales”, argumenta Fernández. En Estados Unidos, la ley Hippa para la protección de datos obliga a los centros a informar cuando se ha producido una intrusión o un robo de información. Europa ha planteado el mismo objetivo tras la aprobación en mayo de una nueva directiva. La norma establece un periodo transitorio para que los estados miembro apliquen las nuevas disposiciones, entre ellas, la publicación y reconocimiento de los ciberataques. La normativa incluso establece sanciones de hasta 20 millones de euros en los casos más graves para aquellos centros que no sepan proteger su información.
Compañías como Panda Security o Watch Guard explican que son muchas las regiones que tratan de solventar estos problemas. La Comunidad de Madrid trabaja desde hace años en la renovación de sus equipos. “Tenemos procesos de actualización permanente de los sistemas, actualmente está en marcha un gran proyecto de actualización a los últimos sistemas Windows”, destaca José Manuel Laperal, responsable de Seguridad de Sistemas de Información Sanitaria dentro de la Dirección General Sistemas de Información del Servicio Madrileño de Salud (Sermas).
Laperal considera que el problema de la antigüedad de los equipamientos se ha superado ya en la Comunidad de Madrid: “No debe de ser muy alta la obsolescencia porque se hacen todos los años proyectos de modificación . Es un parque muy extenso con cerca de 80.000 puestos”. Pero más allá de la protección de los equipos, el Sermas trabaja también en otro nivel no menos importante, la concienciación de los profesionales que trabajan en los hospitales y centros de salud. “No tienen que ser técnicos, su función es curar a la gente, pero tenemos que conseguir que reciban unos mensajes claros sobre dónde está el problema”, subraya. El responsable de Seguridad es consciente de que uno de los principales puntos de entrada son los correos electrónicos y los pendrives.
En los últimos años han proliferado el ransomware. Esta preocupación la comparten la mayoría de los centros . “Envían un correo que parece legítimo, el usuario ejecuta un software y cifra la información de tu ordenador y te la hace inaccesible hasta que no pagues un rescate”, destaca el ingeniero de Watch Guard Iberia. En muchas ocasiones el sistema sanitario puede ser una víctima indirecta, ya que este tipo de correos se remiten de forma masiva. Uno de los ejemplos más recientes ha sido el de las facturas falsas de Endesa que han infectado los equipos de usuarios de todo tipo.
“Hemos observado que dentro de la misma red wifi de máquinas que hacen monitorización de pacientes y el teléfono de los profesionales se encuentran en la misma red”, señala Fernández. La situación llega a tal punto, que incluso los pacientes y sus familias pueden conectarse a la misma red con sus móviles.