La nueva pandemia que afecta a los hospitales: los ciberataques

En 2021, cada institución sanitaria española llegó a sufrir 286 ciberataques a la semana. Esta cifra supone un aumento del 42 por ciento de ciberataques con respecto a 2020, pero, ¿Qué buscan realmente con estos ataques? ¿Quién está detrás de ellos? ¿Corre peligro nuestra información personal sanitaria?

Gaceta Médica entrevista al director técnico de Check Point Software para España y Portugal, Eusebio Nieva, para resolver estas cuestiones.

Las principales consecuencias que puede tener para una institución sanitaria o un hospital el hecho de sufrir un ciberataque se sostienen en múltiples factores. Lo más común es optar por la inutilización de parte de la infraestructura del propio hospital, pudiendo influir en los retrasos de los pacientes, o la inutilización de los mecanismos empleados dentro del hospital, como máquinas avanzadas que dependen de sistemas informáticos.

Método de ataque

Los ciberdelincuentes suelen desarrollar los ciberataques en escala, es decir, acceder a una cuenta de las personas que trabajan dentro del hospital y, a partir de ahí, comenzar a inutilizar el resto de usuarios y poder lanzar un ataque cifrado. “Para poder acceder, en un primer lugar, se engaña al usuario de la misma forma que se puede intentar engañar a la gente para robar su cuenta del banco”, ha explicado Nieva, de manera que, empiezan por un ordenador del sistema y van subiendo de departamentos y, por tanto, de privilegios.

Otra de las técnicas utilizadas es aprovechar alguna vulnerabilidad existente en los sistemas de seguridad de las instituciones sanitarias. Este ‘gap’ puede ser accesible, aunque la propia entidad conozca de su existencia, ya que los ciberdelicuentes pueden aprovechar el tiempo que la institución tarda en repararlo.

Por último, otra de las “ventanas” de acceso para los delincuentes suele ser a través de servicios operativos en remoto, que no tiene porqué ser de una cuenta de personal del hospital, sino de alguna empresa colaboradora. Por ello, los mensajes suelen tener relación con el entorno médico y el entorno de la salud para hacer más atractiva la interacción.

“Lo que les interesa realmente es sacar dinero, lo que les importa es el método de extorsión para conseguir su objetivo”

Eusebio Nieva, director técnico de Check Point Software para España y Portugal

¿Qué tipos de datos interesan a los ciberdelincuentes?

A pesar de poder pensar que los datos de particulares están en peligro, el fin principal de los delincuentes es poder chantajear a cambio de dinero. Así lo ha explicado Nieva, que indica que pueden llegar a tres niveles de extorsión en los ciberataques. Por un lado, la inutilización de infraestructura, como se ha comentado anteriormente. En segundo lugar, extorsionan cifrando y paralizando los datos, de forma que los trabajadores no pueden continuar trabajando con normalidad. En este contexto, los ciberdelicuentes recurren a: “o pagas por tener tus equipos online y tus equipos funcionando o pagas por evitar que se filtren los datos y los publiquemos”, una situación que, según Nieva, puede evitarse “si la entidad en cuestión tiene un buen backup al que recurrir”.

Un backup es una copia de seguridad de los datos realizada en un soporte de almacenamiento. Al hacer un backup, se crea una copia de seguridad de los datos a partir de la cual se pueden restaurar posteriormente en caso de pérdida.

La tercera extorsión a la que suelen recurrir es centrarse en objetivos concretos, personas famosas o partners concretos para publicar información específica.

“Imagina que en X hospital ha acudido una persona famosa con un problema delicado de salud que puede ser un escándalo, juegan con todo tipo de información jugosa para el público”, ha explicado Nieva.

Objetivo: lo privado

En el caso de los hospitales públicos, “están más libre de culpa”, indica Nieva, ya que los presupuestos dependen del Estado. Sin embargo, en los hospitales de gestión privada, deben cumplir una normativa de protección de datos. Por este motivo, también se convierte en un elemento importante para ellos, llegando a pagar las multas de extorsión. Este es uno de los motivos por los que el cibercrimen suele centrarse más en entidades privadas.

A pesar de ello, Nieva recomienda consolidar una red de seguridad capaz de prevenir los ataques y no ceder a las extorsiones para evitar alimentar la demanda de este tipo de ataques.

“Nunca aconsejaría hacer un pago del rescate porque es alimentar la industria del cibercrimen y es poco ético, aunque hay ocasiones con datos muy críticos”

Eusebio Nieva, director técnico de Check Point Software para España y Portugal

¿Qué ocurre cuando una entidad es atacada?

Por norma general, aparece un mensaje en todos los dispositivos del sistema interno de la entidad comunicando que han sido atacados. Los ciberdelincuentes presentan una nota de rescate en todos ellos y cifran los documentos para que sean inaccesibles. Más tarde, a través de correos que tienen securizados e irrastreables piden la cifra de rescate para poder cobrarla a través de algún método de pago, que suelen ser criptomonedas.

Ante esta situación, Nieva recomienda llamar a las Fuerzas de Seguridad del Estado, aunque en ocasiones no es necesario si se cuenta con un plan de seguridad que tenga en cuenta estas posibles contingencias.

“Es recomendable tener un plan de ciberseguridad para determinar qué hacer desde que ocurre un ataque de ransomware, para saber si es posible restaurar un backup, intentar negociar, o ambas cosas”, ha señalado Nieva. El experto en ciberseguridad explica que sirve de poco intentar engañar a los propios ciberdelincuentes, puesto que tienen acceso a las cifras económicas y conocen qué cantidades pueden pedir a cada organización.

“El mundo del cibercrimen está moviendo mucho dinero, se estima que mueve cantidades similares a la droga, habiendo extorsionado por cifras que han alcanzado los 20 millones de dólares a algunas empresas privadas”, ha explicado.

La atribución de los ciberataques

Determinar quién ha sido el encargado de un ciberataque en cuestión es uno de los problemas más graces dentro del entorno de ciberseguridad, según Nieva. El experto indica que, en ocasiones, el propio grupo de ciberdelicuentes publicita su ataque y lo reconoce, pero en otras ocasiones lo publican en sitios internos de la darkweb indicando a quien van a atacar o explicando quien ha sido el último objetivo.

Nieva ha puntualizado que existen casos en los que los ciberdelicuentes no muestran su identificación y piden directamente el rescate. Otras, sin embargo, empiezan con el ataque uno de los grupos especializados y pasan el relevo y el control a otra organización.

Seguridad en las instituciones sanitarias españolas

El experto de Check Point indica que algunas de las instituciones “están muy por detrás de estar realmente protegidas frente a las amenazas modernas”. A pesar de ello, reconoce que la concienciación ha aumentado ante el aumento de ataques en los últimos años.

En este sentido, faltan elementos por implementar en los sistemas de seguridad de los hospitales. Una de las recomendaciones de Nieva es contar con especialistas en cada una de las entidades para poder servir de barrera a los ciberataques. Además, propone la opción de segmentar las redes internas, es decir, separar los elementos de red para poder aislarlos más fácilmente en caso de ataque.

Implementar barreras en los dispositivos individuales de cada trabajador, e incluso en los teléfonos móviles, es otro de los consejos del experto, además de consolidar cierta enseñanza al usuario para “tener responsabilidad de las acciones con los equipos de la entidad”.

“Estamos en una ciberpandemia. Recomendamos, especialmente a los usuarios de los sectores de la educación, la administración y la sanidad, que aprendan lo básico sobre cómo protegerse. Medidas sencillas pueden contribuir en gran medida a que el mundo sea más seguro”, concluye Nieva.

---

También te puede interesar…

La otra “ola” de 2020: los ciberataques a hospitales