Así se pueden colar los ciberatacantes en los hospitales: el 23 % de los dispositivos médicos están expuestos a ciberamenazas
OCIO@
Conocer a fondo los dispositivos y su interconexión, hacer revisiones de su eficiencia y dar accesos seguros y limitados, algunas de las claves para evitar ataques como el que sufrió el Clínic de Barcelona
05 jun 2024 . Actualizado a las 11:11 h.Prácticamente uno de cada cuatro dispositivos médicos está bajo ciberamenaza. El dato lo proporciona el informe State of CPS Security Report: Healthcare 2023, que reconoce que el 23% de los dispositivos de imagen, clínicos y quirúrgicos tiene al menos una vulnerabilidad explotada. Y el 63 % de las vulnerabilidades explotadas conocidas afecta a las redes de organizaciones sanitarias como hospitales y clínicas. Ya ha habido ejemplos en España, como el ataque al Hospital Clinic de Barcelona, y estos días varios centros hospitalarios de Londres han visto comprometido su labor en cosas como las transfusiones sanguíneas o el buen funcionamiento de la atención primaria. Todo, según ha denunciado el sistema nacional de salud británico, a causa de un ciberataque.
Al hablar de dispositivos en funcionamiento en un centro hospitalario o en un ambulatorio, lo primero que se le viene a la cabeza son máquinas de rayos, para analizar glucosa... Pero en realidad dentro de un hospital hay mucho más, porque hay también máquinas de vending, para cobrar en el párking, ordenadores de administración, de enfermería o del personal médico... «Los dispositivos más críticos son los médicos, porque son los que dan el servicio al paciente, pero cualquier tipo de dispositivo puede estar expuesto» a ciberamenazas o ser víctimas de un ciberataque. Lo explica osé Antonio Sánchez Ahumada, director de Ventas para España y Portugal en Claroty, especializada en ciberseguridad.
El matiz es importante, porque si hay un dispositivo expuesto hacia el exterior con una conexión disponible, ya sea una máquina de vending, un ordenador, un torno o un TAC, puede ser utilizado por un atacante para conseguir entrar en la red del hospital y desde ese dispositivo a priori menos importante, saltar a otros que efectivamente son críticos «y de esa manera robar información, parar el servicio del hospital o manipular los dispositivos con cualquier tipo de cometido», explica Sánchez Ahumada.
Y sí, si hay un dispositivo expuesto, del tipo que sea, los datos de salud de los pacientes pueden estar en riesgo. «Los datos están expuestos porque aunque cada vez los hospitales están más concienciados y van poniendo más herramientas de ciberseguridad, es verdad que aún queda mucho recorrido por hacer». Por eso, sea directamente o de manera indirecta, explican desde Claroty, «en algún momento esos datos pueden ser robados, utilizados o manipulados por un atacante por obtener acceso al hospital».
Los ciberdelincuentes pueden robar los datos para pedir un rescate por ellos, o quizá para modificarlos en un ataque dirigido a una persona concreta. O puede que el objetivo principal sea perturbar el funcionamiento del hospital.
La cuestión es entonces, ¿hay dispositivos más vulnerables que otros? «Según esté configurado el dispositivo y las medidas de seguridad que tenga el hospital, puede ser cualquiera», afirma Sánchez Ahumada. Un dispositivo médico se utiliza con el paciente, pero la información se almacena en un ordenador. Cada fabricante de dispositivos médicos genera una especie de cuestionarios en los que se establece si el dispositivo necesita conexión a Internet, si necesita acceder a un servidor de información del paciente o a otros dispositivos, por poner un ejemplo. «Muchas veces, el riesgo está en que el dispositivo está mal configurado» o por lo menos algunos parámetros están mal configurados.
Un ejemplo: los dispositivos médicos tienen la opción de conectarse mediante cable o por red inalámbrica y es necesario tomar medidas de seguridad para evitar que los dispositivos queden expuestos a una conexión de Internet. Es decir, aunque no la necesiten, la tienen. «Por eso es importante configurarlo bien e ir añadiendo capas de seguridad» que dificulten el acceso de los ciberatacantes.
El responsable de ventas de Claroty lo resume de manera sintética: en un hospital, cualquier dispositivo podría ser atacado. Si no está bien configurado puede ser accesible desde el exterior de la red hospitalaria y por tanto vulnerable a ciberamenazas. Eso puede provocar por ejemplo un resulta erróneo en una prueba diagnóstica, o que la máquina deje de funcionar durante una prueba, lo que afecta al paciente. Puede también hacer que el dispositivo se detenga, lo que no solamente afecta al paciente, sino que va en detrimento del funcionamiento del hospital.
«Pocos hospitales tienen un sistema que les permita ver qué tienen conectado y cómo interoperan esos dispositivos» ni una solución que permita tomar decisiones una vez se ha hecho visible esa interconexión. Así que tampoco tienen «un control en tiempo real del inventario, de los riesgos y las amenazas. Y eso hace que estén expuestos», resaltan desde Claroty.
Hay buenas noticias, sin embargo. A través de diferentes iniciativas, tanto los hospitales públicos como los privados han puesto en marcha diferentes medidas para que todo esto no ocurra, y de ocurrir el ciberataque, que las consecuencias sean las menores posibles.
Se están implementando ya soluciones de visibilidad de todos los dispositivos conectados en las redes hospitalarias, no solo los médicos, y también en los centros de salud y ambulatorio, ya que «al estar todo interconectado el ciberataque puede ir por ese lado», advierte Sánchez Ahumada, que también matiza que es necesario poner en marcha soluciones de este tipo cuanto antes para evitar que los ciberatacantes consigan entrar en la red sanitaria mientras todavía se están construyendo las nuevas capas de seguridad.
Entre las medidas que ya se están poniendo en marcha están las soluciones que permitan conocer todos los dispositivos conectados a la red y dónde están conectados, tanto en la planta del edificio como si es a través de cable o de red inalámbrica. Es interesante también, explican desde Claroty, saber si se están utilizando de manera eficiente todos los dispositivos. «A veces analizando ese uso puedes ver si están siendo atacados o no», con lo que se convierte en una medida de seguridad y también «de ahorro de costes», recalca el responsable de ventas de Claroty.
Otra de las cuestiones fundamentales para mejorar la preparación de las redes hospitalarias ante una ciberamenaza es que haya accesos controlados y seguros a los dispositivos, por ejemplo por parte de los proveedores. Y además, es importante separar los distintos elementos dentro de la red para evitar precisamente que un ciberataque a un dispositivo no crítico pueda dar acceso a otros críticos y que pongan en riesgo lo datos de salud de los pacientes o comprometer el funcionamiento del centro sanitario.
Es decir, se trata de construir muros entre, por ejemplo, el equipamiento médico y los ordenadores de administración, o con la gestión del aire acondicionado. Eso supone una capa de seguridad a mayores, porque controla la interconexión entre los equipamientos que pueden tener consecuencias importantes si caen en un ciberataque y los que tendrían resultados menos graves.
Y, desde luego, la formación es fundamental. «Es un punto clave, porque usuarios somos todos: los profesionales de la salud, quien gestiona las redes informáticas, el personal que gestiona el edificio...» De una forma u otra, vía wifi, vía cable o como sea, todos acaban conectados a esa red en algún momento. «Que el usuario aprenda o por lo menos tenga unas nociones básicas de lo que hacer o no es muy importante».
Es cierto, de todos modos, que los ataques son tan sofisticados que a no ser que se trate de un usuario muy avanzado es complicado descubrir que se trata de un ciberataque. «Por eso hay que tomar medidas a nivel tecnológico». Entre otras cosas, porque dentro de un hospital quizá el 50 % de los usuarios tengan formación en ciberseguridad, porque se trata de personal administrativo o médico. Eso deja fuera a todas las personas que cada día tienen relación con una red hospitalaria, que puede que no tengan ningún tipo de formación y convertirse en un punto de riesgo. «Es importante. No es suficiente, pero es crítico que el usuario esté formado».