Ciberseguridad

Hospitales y pacientes: rehenes de los ciberdelincuentes

Fabio Andrés LópezBy 125 views
0

Un reciente ejemplo fue el caso de EPS Sanitas en Colombia, cuyo ataque afectó a millones de usuarios en el país.

Se supone que las fiestas decembrinas y de comienzo de año, son una época de paz y tranquilidad. Sin embargo, los hospitales no las están disfrutando, porque además del aumento de pacientes enfermos o lesionados, los ciberdelincuentes están tratando de aprovechar la situación, sabiendo muy bien que los hospitales sobrecargados no pueden permitirse una interrupción del servicio.

Esta situación, aumenta el precio del rescate de un ataque de ransomware exitoso. Además, durante las vacaciones, los hospitales suelen tener poco personal, incluidos los especialistas en TI, lo que hace más probable que las ciberamenazas pasen desapercibidas y aumenta el tiempo de respuesta potencial. Muchos empleados trabajan de forma remota durante las vacaciones, lo que aumenta aún más el riesgo de un ataque de phishing exitoso, que puede ser la etapa inicial de un ataque de ransomware.

Los datos de la empresa de seguridad cibernética Check Point Software Technologies muestran que en 2022, una organización de atención médica promedio enfrentó 1462 ataques cibernéticos por semana, un aumento del 74% con respecto a 2021 y el aumento más alto de cualquier industria. El hecho de que el cuidado de la salud sea el tercer sector atacado con más frecuencia dice mucho de lo atractivo que es como objetivo.

Además, a medida que finalizó el año 2022, también se vio un aumento alarmante en los ataques de ransomware a la atención médica. Mientras que, durante la temporada navideña y decembrina, aproximadamente una de cada 50 organizaciones de atención médica se vio afectada por ransomware y a partir de octubre, vimos un aumento gradual de los ataques, con un importante punto de inflexión a principios de diciembre, cuando la cantidad de ataques de ransomware se disparó y uno de cada 13 empresas de salud fueron atacadas en la segunda quincena de diciembre.

La cantidad de vulnerabilidades potenciales también está aumentando con el incremento de los dispositivos IoT en el cuidado de la salud. Check Point ha demostrado anteriormente que un ultrasonido, por ejemplo, podría ser atacado y bloqueado, o que una organización podría ser atacada usando bombillas inteligentes.

Algunas amenazas pueden acechar en los sistemas comprometidos durante semanas o incluso meses, robando datos sin ser detectadas y esperando el momento adecuado para atacar. Por lo tanto, no nos enteramos de muchos ataques hasta mucho después de que este ha comenzado. El hecho de que su pantalla no se ilumine con demandas de rescate y sus computadoras no estén bloqueadas no significa que no haya enfrentado un ataque durante mucho tiempo. Por eso aumenta la urgencia de esta advertencia.

La naturaleza temeraria y sistemática del delito cibernético quedó demostrada en la pandemia del coronavirus, donde los atacantes aprovecharon la situación caótica para atacar repetidamente las redes de los hospitales en un momento en que los centros de salud tenían menos capacidad de respuesta.

“Los ataques cibernéticos a hospitales, redes eléctricas, tuberías, plantas de tratamiento de agua, sistemas de transporte y otras instalaciones de infraestructura crítica pueden amenazar directamente la vida humana y deben tratarse en consecuencia. Si estamos claros que los ataques terroristas a la infraestructura crítica nos producen temor, debemos darnos cuenta de que los ciberataques pueden tener un impacto incluso más devastador que las bombas”, explicó Miloslav Lujka, Country Manager República Checa, Eslovaquia y Hungría de Check Point Software Technologies.

Aunque es difícil determinar exactamente qué impacto tienen los ataques cibernéticos en la salud de los pacientes, ya que muchos factores influyen en esto y las complicaciones o incluso la muerte pueden seguir semanas o meses después de un ataque, queda claro a partir de los ejemplos a continuación que tenemos un gran problema por delante de nosotros, que necesita ser abordado.

Desafortunadamente, los ataques de ransomware también tocan a los hospitales checos, como lo demostraron, por ejemplo, los ataques a hospitales en Benesov y Brno.

En noviembre, el FBI advirtió sobre el ransomware Hive que ataca activamente los sistemas de salud. Descubierto por primera vez en junio de 2021, Hive encripta archivos e interrumpe los procesos de copia de seguridad en los ataques.

Además, este grupo amenaza con publicar información robada en el sitio web HiveLeaks a menos que se pague un rescate. Los atacantes también han llamado por teléfono a algunas de las víctimas para intensificar la amenaza. Desafortunadamente, esta es una táctica cada vez más común en la que, además de cifrar datos, se roba información confidencial que puede publicarse o usarse para ataques posteriores.

El ransomware Hive se utilizó, por ejemplo, en el ataque al Hospital Lake Charles Memorial en Louisiana en octubre. Si bien se impidió que los sistemas se encriptaran, los piratas informáticos pudieron acceder a la información personal de casi 270 mil pacientes. El FBI y otras agencias federales señalan que los ciberdelincuentes que utilizan el “Hive” han extorsionado con más de 100 millones de dólares a más de 1.300 empresas en todo el mundo en tan solo un año y medio, y en muchos casos se trataba de organizaciones sanitarias.

El Departamento de Salud y Servicios Humanos de Estados Unidos también advirtió sobre los ataques del ransomware Royal que dejó fuera de servicio el circuito de carreras más popular de Inglaterra, Silverstone en noviembre, y es una amenaza directa para las organizaciones de atención médica.

Recientemente, un hospital francés en el suburbio de Versalles tuvo que cancelar cirugías y transferir pacientes después de un ataque de ransomware. El Hospital André-Mignot en Chesnay-Rocquencourt fue objetivo de un ciberataque que deshabilitó las computadoras y, como resultado, seis pacientes tuvieron que ser trasladados de la unidad de cuidados intensivos y la sala neonatal a hospitales cercanos. También requirió el refuerzo del personal, ya que las funciones de varias máquinas críticas no pudieron restaurarse por completo.

En septiembre, el Centre Hospitalier Sud Francilien de Francia, enfrentó una fuerte escalada de ataques de LockBit 3.0. Los hackers pedían un rescate de 10 millones de dólares. Unos meses antes el grupo de hospitales “GHT Cœur Grand Est” dijo que se vio forzado a cortar las conexiones de Internet de los centros asistenciales Vitry-le-François y Saint-Dizier, después de recibir una demanda de rescate 1.3 millones de dólares. En ambos casos, los piratas informáticos cumplieron sus amenazas y publicaron información confidencial de pacientes en línea.

La industria de la salud también está siendo atacada por Daixin Team, un grupo de hackers que utiliza ransomware creado con el código fuente de Babuk Locker para lanzar ataques. Daixin Team cifra los registros médicos, los datos de diagnósticos y el acceso a los servicios de la Intranet, al tiempo que roba datos personales e información de salud de los pacientes. Cuando exige rescate amenaza con divulgar esta información.

SickKids, uno de los hospitales pediátricos más grandes de Canadá, señaló que llevará varias semanas restaurar completamente sus sistemas informáticos después de los ataques de ransomware, lo que afectará el tratamiento de algunos pacientes.

A finales de octubre, un ataque de ransomware detuvo las operaciones en un hospital en Osaka, que tuvo que suspender los servicios médicos normales ya que su sistema para manejar registros médicos electrónicos estaba desactivado.

El gigante estadounidense de la salud CommonSpirit Health, que administra 700 sitios y 142 hospitales en 21 estados, informó a principios de diciembre que se filtraron datos de más de 620 mil pacientes, incluidos registros médicos electrónicos, entre septiembre y octubre. A su vez, un ataque en noviembre contra otros tres hospitales de Nueva York, obligó a los médicos a cambiar las historias clínicas a papel, lo que retrasó la atención.

El notorio grupo ruso de ciberdelincuencia Conti también es responsable de una serie de ataques exorbitantes a hospitales.

Y hay muchos más ataques que aún no conocemos. Por lo tanto, estos no son solo algunos ataques aleatorios, sino un esfuerzo organizado de varias bandas profesionales para atacar directamente al sector de la salud, y el desarrollo de nuevas amenazas corresponde a esto.

Además, pagar el rescate puede alentar a los ciberdelincuentes a lanzar más ataques. Pagar el rescate tampoco garantiza que los archivos se restaurarán y puede llevar semanas o incluso meses volver a la normalidad.

Algunos gobiernos también están tratando de responder a la crítica situación. Por ejemplo, el gobierno australiano está considerando una nueva legislación que imposibilitaría el pago de rescates, lo que podría cambiar la estrategia cibernética de muchas organizaciones. Entonces, ¿qué pueden hacer las organizaciones de atención médica para protegerse de las ciberamenazas? Es importante tener en cuenta que un ataque de ransomware generalmente comienza con otra amenaza, y el cifrado de archivos y la solicitud de rescate es solo una de las siguientes etapas. Por ello, es fundamental protegerse de todo tipo de amenazas y saber responder.

Consejos de seguridad para organizaciones sanitarias
1. Cuidado con los troyanos: los ataques de ransomware generalmente no comienzan con ransomware. Ryuk y otros tipos de ransomware usan troyanos en la fase inicial. La infección troyana ocurre días o semanas antes de un ataque de ransomware, por lo que los equipos de seguridad deben buscar infecciones Trickbot, Emotet, Dridex o Cobalt Strike en sus redes y eliminarlas antes de que puedan preparar el escenario para el ransomware.

2. Manténgase alerta los fines de semana y días festivos: la mayoría de los ataques de ransomware tienen lugar los fines de semana y días festivos. Los piratas informáticos intentan apuntar a momentos en los que es más probable que los equipos de TI y seguridad estén fuera de horario y la respuesta a la amenaza sea más lenta.

3. Use anti-ransomware: los ataques de ransomware son sofisticados, pero una solución anti-ransomware reparará cualquier daño y devolverá todo a la normalidad en minutos. La protección antiransomware vigila cualquier actividad inusual, como abrir y cifrar grandes cantidades de archivos. Si el anti-ransomware detecta algún comportamiento sospechoso, puede reaccionar de inmediato y evitar daños masivos.

4. La copia de seguridad y el archivo de datos son esenciales: el objetivo del ransomware es obligar a la víctima a pagar un rescate para recuperar el acceso a los datos cifrados. Sin embargo, esto solo es efectivo si el objetivo realmente pierde el acceso a sus datos. Si algo sale mal, sus datos deberían poder recuperarse fácil y rápidamente. Por lo tanto, es imperativo realizar copias de seguridad de manera constante, incluso automáticamente en los dispositivos de los empleados, y no depender de que ellos mismos recuerden activar la copia de seguridad.

5. Limite el acceso solo a la información y el segmento necesarios: si desea minimizar el impacto de un ataque exitoso, es importante asegurarse de que los usuarios solo tengan acceso a la información y los recursos que necesitan absolutamente para hacer su trabajo. La segmentación de su red minimiza el riesgo de que el ransomware se propague sin control por toda su organización. Lidiar con las consecuencias de un ataque de ransomware en un solo sistema puede ser difícil, pero reparar el daño después de un ataque en toda la red es mucho más desafiante.

6. La educación es una parte esencial de la protección: los empleados deben poder reconocer amenazas potenciales. De hecho, muchos ataques cibernéticos comienzan con phishing dirigido, que, si bien no contiene malware, utiliza la ingeniería social para atraer a los usuarios a hacer clic en un enlace malicioso o proporcionar información confidencial. Por lo tanto, la educación del usuario es una de las partes más importantes de la protección.

7. Instale regularmente actualizaciones y parches: WannaCry afectó duramente a organizaciones de todo el mundo en mayo de 2017, infectando más de 200 mil computadores en tres días. Sin embargo, un mes antes del ataque había disponible un parche para la vulnerabilidad EternalBlue explotada. Las actualizaciones y los parches se instalan de forma inmediata y automática. Parchear y actualizar versiones antiguas de software y sistemas. Sin embargo, en muchos casos esto no es posible en los hospitales por diversas razones. Por lo tanto, recomendamos usar un sistema de prevención de intrusiones (IPS) con capacidades de parcheo virtual para evitar intentos de explotar las debilidades en sistemas o aplicaciones vulnerables. Un IPS actualizado ayuda a las organizaciones a mantenerse seguras.

8. Asegure todo y confórmese con lo mejor: no subestime nada, las computadores, servidores, dispositivos móviles, así como bombillas inteligentes o cualquier otro dispositivo IoT pueden ser un punto de entrada y una puerta de entrada a su organización para los piratas informáticos. Por lo tanto, utilice siempre las mejores soluciones de seguridad y, si es necesario, utilice los servicios de equipos externos especializados en la captura de amenazas.

Los retos digitales para empresas en 2023

Previous article

El USB-C será un estándar en el futuro próximo

Next article

You may also like

Comments

Comments are closed.

More in Ciberseguridad

Login/Sign up
Login/Sign up