En la actualidad, uno de los sectores más susceptibles a las amenazas cibernéticas es el de la salud. Hospitales, clínicas, proveedores de servicios médicos y sistemas de atención médica se han convertido en blancos habituales en esta creciente ola de ciberataques. Este sector enfrenta una serie de riesgos que lo tornan particularmente vulnerable y lo exponen a amenazas significativas.
La modernización digital en el sector sanitario, si bien es esencial, a menudo se lleva a cabo con presupuestos limitados y en condiciones de urgencia. Esta situación ha dado lugar a un escenario preocupante: el sector de la salud ha experimentado un impactante aumento del 650% en los ciberataques sufridos en el último año, según informes de Tehtris.
España ha sido testigo de incidentes recientes que destacan la urgencia de abordar la ciberseguridad en el ámbito sanitario. El ciberataque al Hospital Clínic de Barcelona es un ejemplo de las amenazas que acechan a estas instituciones de vital importancia. A nivel global, en 2021, los Estados Unidos experimentaron un aumento significativo en las violaciones de datos relacionadas con la atención médica, con más de 40 millones de registros de pacientes comprometidos.
Esta tendencia al alza en la vulnerabilidad cibernética en el sector de la salud plantea una serie de riesgos que es fundamental abordar para proteger la privacidad de los pacientes y garantizar una atención médica ininterrumpida.
Riesgos de la ciberseguridad en la salud
- Hiperconectividad. Un desafío creciente para la seguridad de los sistemas. Con el avance de la tecnología en la salud, la proliferación de dispositivos conectados para diversas pruebas médicas plantea riesgos significativos para la ciberseguridad.
- Cadena de suministro. La cadena de suministro implica interacciones en línea con múltiples proveedores y socios comerciales. Cada punto de conexión en línea representa una posible vulnerabilidad si no está protegido adecuadamente. Los atacantes pueden intentar ingresar a través de estos puntos débiles para acceder a los sistemas internos.
- Falta de cultura de seguridad cibernética en empleados: Muchos empleados y usuarios no están acostumbrados a practicar la seguridad cibernética en su rutina diaria. Esto puede llevar a acciones inseguras, como hacer clic en enlaces maliciosos o utilizar contraseñas débiles. Es esencial fomentar una cultura de seguridad en las organizaciones mediante la capacitación y la concienciación.
- Valor de los datos médicos. Los datos médicos por ser de carácter personal y altamente sensibles son valiosos en el mercado negro y pueden ser objeto de robo para su venta o extorsión.
- Vulnerabilidades de los sistemas. Los sistemas sanitarios continúan enfrentando vulnerabilidades críticas que los exponen a ataques cibernéticos. Un estudio llevado a cabo por ENISA reveló que las organizaciones sanitarias han reportado el mayor número de incidentes de seguridad relacionados con vulnerabilidades en software o hardware, con un sorprendente 80% de los encuestados señalando que las vulnerabilidades han sido la causa de más del 61% de sus incidentes de seguridad. En muchos casos, estas vulnerabilidades se producían por la falta de actualizaciones de los sistemas informáticos.
- Dispositivos médicos de usuarios: Los dispositivos médicos conectados a Internet, como marcapasos o bombas de insulina, pueden ser objetivos para ciberataques si no están adecuadamente protegidos.
- Fuga de datos: En los últimos años, con el avance de la tecnología y el aumento del flujo de información, se registraron numerosos incidentes de filtración de datos en sistemas y laboratorios de pruebas. Estos incidentes se atribuyeron principalmente a prácticas internas deficientes en materia de seguridad, que incluían configuraciones incorrectas.
- Recursos limitados: Muchos hospitales o centros médicos tienen presupuestos limitados para ciberseguridad, lo que puede dificultar la implementación de medidas de protección efectivas.
- Desafíos de cumplimiento normativo: Los hospitales deben cumplir con regulaciones estrictas de privacidad de datos, y las brechas de seguridad pueden resultar en sanciones financieras