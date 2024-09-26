Según el informe IBM "Cost of a Data Breach" de 2024, el coste medio global de una vulneración de datos alcanzó los 4,88 millones de dólares este año, un aumento del 10 % con respecto a 2023.
Para el sector sanitario, el informe ofrece buenas y malas noticias. La buena noticia es que el coste medio de las vulneraciones de datos cayó un 10,6 % este año. La mala noticia es que, por decimocuarto año consecutivo, la atención médica encabeza la lista con las recuperaciones de vulneraciones más caras, con una media de 9,77 millones de USD.
El ransomware desempeña un papel clave en la creación de esta diferencia de costes. Según datos de la Oficina del Director de Inteligencia Nacional, el número de ataques de ransomware casi se duplicó entre 2022 y 2023. Ataques recientes a gran escala, como los de Change Healthcare y Ascension, han demostrado la eficacia de estos ataques para conseguir que los hackers obtengan lo que quieren.
¿El resultado? El ransomware está en aumento. Esto es lo que las organizaciones sanitarias necesitan saber sobre por qué el ransomware funciona tan bien, qué quieren los atacantes y cómo los compromisos pasados impulsan las tendencias futuras.
Los datos sanitarios son valiosos, no solo desde el punto de vista financiero, sino también físico.
Consideremos un ataque de ransomware que encuentra y cifra los datos del paciente. En el mejor de los casos, los planes de tratamiento para el paciente se retrasan temporalmente o se posponen. En el peor de los casos, hay vidas en peligro porque el personal no puede acceder a la información crítica de los pacientes.
Si las empresas sanitarias aguantan y se niegan a pagar, no solo se enfrentan a problemas financieros y operativos; están poniendo en riesgo a los pacientes. Esto crea un problema de doble presión, ya que tanto los equipos directivos como las familias de los pacientes presionan a los equipos de TI para que cumplan con las demandas en lugar de intentar descifrar los datos comprometidos. Como resultado, las empresas sanitarias tienen más probabilidades que las de otros sectores de pagar el rescate, aunque no haya garantía de que los datos se descifren y los atacantes no vuelvan a intentarlo.
Si bien los problemas internos, como los errores humanos y los fallos de TI, representaron el 26 y el 22 % de los ataques sanitarios, respectivamente, el 52 % de las vulneraciones se atribuyeron a actores malintencionados.
Según un informe de la Oficina de Seguridad de la Información y el Centro de Coordinación de Ciberseguridad del Sector Sanitario (HC3), las principales rutas de ataque para la sanidad incluyen la ingeniería social, los ataques de phishing, el compromiso del correo electrónico empresarial (BEC), la DDoS (denegación de servicio distribuido) y las botnets.
Comprometer a través de cualquiera de estas vías ofrece a los ciberdelincuentes la oportunidad de descargar e instalar ransomware. En el caso de ataques como el phishing o la divulgación de correos electrónicos, pueden pasar días, semanas o incluso meses antes de que las organizaciones descubran que han sido vulneradas.
La escasez de personal de TI también facilita que los atacantes puedan acceder a las redes sanitarias. Como señala una investigación reciente de CDW, solo el 14 % de las organizaciones sanitarias afirman que sus equipos de seguridad informática cuentan con personal completo. Más de la mitad afirman que necesitan más ayuda y el 30 % dicen que carecen de personal suficiente o es muy escaso. Esto pone a muchas empresas en un estado de triaje continuo de ciberseguridad, dejándolas un (o más) paso por detrás de los actores maliciosos.
Los atacantes buscan cifrar y exfiltrar cualquier dato, lo que dificulta que las organizaciones sanitarias lleven a cabo tareas clave o las pone en riesgo de verse comprometidas por la normativa.
Esto incluye registros médicos electrónicos (EMR) que contienen información del paciente, como planes de tratamiento, información financiera, detalles del seguro o números de seguridad social. Los atacantes también pueden impedir que el personal acceda a soluciones clave como las herramientas de programación o cortar las conexiones con servicios cloud clave.
En resumen, los atacantes quieren cualquier cosa que puedan vender y cualquier cosa que puedan utilizar para forzar la acción inmediata. Pensemos en una empresa financiera. Si se vulneran los documentos protegidos, las empresas financieras podrían sufrir pérdidas monetarias y de reputación. En el caso de la sanidad, por otro lado, un compromiso podría provocar lesiones graves o incluso la pérdida de vidas, dos eventos significativos que hacen prácticamente imposible que las organizaciones recuperen una sólida reputación en el sector.
Los ataques de ransomware tienen una tendencia al alza, en parte porque los hackers tienen éxitos repetidos.
Por ejemplo, en febrero de 2024, Change Healthcare sufrió un ataque de ransomware orquestado por un grupo conocido como BlackCat. En lugar de correr el riesgo de perder datos críticos, Change pagó a los atacantes 22 millones de dólares. Según un artículo reciente de la NPR, las pérdidas totales de la empresa debidas al incidente superarán probablemente los 1500 millones de dólares.
Tres meses después, otro grupo de ransomware atacó a Ascension, un sistema de salud católico con 140 hospitales en 10 estados. Los proveedores se quedaron sin acceso a sistemas críticos que ayudaban a seguir y coordinar la atención a los pacientes, lo que incluía información sobre tipos de medicamentos, dosis y posibles reacciones problemáticas. Volver al papel ayudó a Ascension a gestionar el impacto, pero ralentizó significativamente los procesos operativos.
El éxito continuo de los ataques de ransomware crea una oportunidad tanto para los atacantes expertos como para sus homólogos menos inteligentes: los que tienen talento para la codificación pueden crear su propio código y combinarlo con las herramientas de malware existentes, mientras que los que carecen de habilidades pueden comprar paquetes de ransomware listos para usar en los mercados de la dark web.
Reducir los riesgos de ransomware requiere un enfoque de dos partes que incluya protección y detección.
La protección incluye el uso de herramientas antispoofing y de verificación de correo electrónico capaces de reducir el número de mensajes potencialmente fraudulentos que llegan a las bandejas de entrada de los usuarios. Por ejemplo, las empresas pueden marcar ciertas frases como "acción urgente" o "transferencia de fondos" para limitar el riesgo de ataques de phishing.
Mientras tanto, la IA y las herramientas automatizadas pueden ayudar a acortar el tiempo necesario para que las organizaciones detecten y, por lo tanto, mitiguen los ataques. Según Brendan Fowkes, líder de tecnología global del sector sanitario en IBM, las empresas de atención médica que utilizaron herramientas de IA y automatización pudieron detectar y contener incidentes 98 días más rápido que el promedio. Además, las empresas que utilizan estas soluciones ahorraron una media de casi 1 millón de dólares.
Los ataques de ransomware contra las orgnizaciones sanitarias sigue aumentando a medida que los ciberdelincuentes reconocen el valor de los datos operativos y de los pacientes para obligar a las empresas afectadas a tomar medidas.
Aunque es imposible eliminar por completo el riesgo de ransomware, las empresas pueden reducir su potencial de compromiso combinando herramientas de protección del correo electrónico con soluciones de detección de IA capaces de automatizar los procesos clave y detectar posibles problemas antes de que comprometan los datos pertinentes de los pacientes.