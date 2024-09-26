Según el Informe del Informe del costo de una filtración de datos 2024 de IBM, el costo promedio global de una filtración de datos alcanzó los 4.88 millones de dólares este año, un aumento del 10 % con respecto a 2023.
Para la industria de la atención médica, el informe ofrece buenas y malas noticias. La buena noticia es que los costos promedio de filtración de datos cayeron un 10.6 % este año. La mala noticia es que, por decimocuarto año consecutivo, la atención médica encabeza la lista con las recuperaciones de filtraciones más caras, con un promedio de 9.77 millones de dólares.
El ransomware desempeña un papel clave en la creación de esta diferencia de costos. Según datos de la Office of the Director of National Intelligence, el número de ataques de ransomware casi se duplicó entre 2022 y 2023. Ataques recientes a gran escala, como los de Change Healthcare y Ascension, demostraron la eficacia de estos ataques para conseguir que los hackers obtengan lo que quieren.
¿El resultado? El ransomware está en aumento. Esto es lo que las organizaciones de atención médica deben saber sobre por qué el ransomware funciona tan bien, qué quieren los atacantes y cómo los compromisos pasados impulsan las tendencias futuras.
Los datos de atención médica son valiosos no solo financieramente, sino también físicamente.
Consideremos un ataque de ransomware que encuentra y encripta los datos de los pacientes. En el mejor de los casos, los planes de tratamiento para pacientes se retrasan temporalmente o se posponen. En el peor de los casos, hay vidas en riesgo porque el personal no puede acceder a la información crítica de los pacientes.
Si las empresas de atención médica se mantienen firmes y se niegan a pagar, no solo están lidiando con problemas financieros y operativos; potencialmente están poniendo a los pacientes en riesgo. Esto crea un problema de doble presión, ya que tanto los altos ejecutivos como las familias de pacientes presionan a los equipos de TI para satisfacer las demandas en lugar de tratar de descifrar los datos comprometidos. Como resultado, las empresas de salud son más propensas que las de otras industrias a pagar el rescate, incluso si no hay garantía de que los datos se descifrarán y los atacantes no volverán a intentarlo.
Si bien los problemas internos como errores humanos y fallas de TI representaron el 26 % y 22 % de los ataques de atención médica, respectivamente, el 52 % de las filtraciones se atribuyeron a actores maliciosos.
Según un informe de la Office of Information Security y Health Sector Cybersecurity Coordination Center (HC3), las principales rutas de ataque para la atención médica incluyen ingeniería social, ataques de phishing, compromiso de correo electrónico empresarial (BEC), denegación distribuida del servicio (DDoS) y botnets.
El compromiso a través de cualquiera de estas rutas brinda a los delincuentes cibernéticos la oportunidad de descargar e instalar ransomware. En el caso de ataques como el phishing o el compromiso de correo electrónico, pueden pasar días, semanas o incluso meses antes de que las organizaciones descubran que han sido vulneradas.
La escasez de personal de TI también facilita que los atacantes puedan acceder a las redes de atención médica. Como señaló una investigación reciente de CDW, solo el 14% de las organizaciones de atención médica dice que sus equipos de seguridad de TI cuentan con todo el personal. Más de la mitad afirma que necesita más ayuda y el 30% dice que carece de personal suficiente o que tiene una grave falta de personal. Esto pone a muchas empresas en un estado de clasificación continua de ciberseguridad, dejándolas uno (o más) pasos detrás de los actores maliciosos.
Los atacantes buscan cifrar y filtrar cualquier dato, lo que dificulta a las organizaciones de atención médica la realización de tareas clave o las pone en riesgo de incumplir la normativa.
Esto incluye registros médicos electrónicos (EMR) que contienen información del paciente, como planes de tratamiento, información financiera, detalles del seguro o números de seguridad social. Los atacantes también pueden impedir que el personal acceda a soluciones clave, como herramientas de programación o corte de conexiones con servicios en la nube clave.
En resumen, los atacantes quieren cualquier cosa que puedan vender y cualquier cosa que puedan usar para obligar a una acción inmediata. Consideremos una compañía financiera. Si se infringen los documentos protegidos, las empresas financieras podrían sufrir pérdidas monetarias y de reputación. Mientras tanto, en el caso de la atención médica, un compromiso podría provocar lesiones graves o incluso la pérdida de la vida, ambos eventos importantes que hacen que sea prácticamente imposible que las organizaciones recuperen una sólida reputación en la industria.
Los ataques de ransomware tienen una tendencia al alza en parte porque los hackers tienen éxito repetido.
Por ejemplo, en febrero de 2024, Change Healthcare sufrió un ataque de ransomware orquestado por un grupo conocido como BlackCat. En lugar de correr el riesgo de perder datos críticos, Change pagó a los atacantes 22 millones de dólares. Según un reciente artículo de NPR, las pérdidas totales de la empresa debido al incidente probablemente superarán los 1500 millones de dólares.
Tres meses después, otro grupo de ransomware atacó a Ascension, un sistema de salud católico con 140 hospitales en 10 estados. Los proveedores se vieron privados del acceso a sistemas críticos que ayudaban a realizar el seguimiento y coordinar la atención de los pacientes, lo que incluía información sobre los tipos de medicamentos, las dosis y las posibles reacciones problemáticas. Volver al sistema en papel ayudó a Ascension a gestionar el impacto, pero ralentizó significativamente los procesos operativos.
El éxito continuo de los ataques de ransomware crea una oportunidad tanto para los atacantes calificados como para sus contrapartes menos inteligentes: aquellos con talento en programación pueden crear su propio código y combinarlo con las herramientas de malware existentes, mientras que aquellos que carecen de habilidades pueden comprar paquetes de ransomware listos para usar en los mercados de la dark web.
Reducir los riesgos de ransomware requiere un enfoque de dos partes que incluya protección y detección.
La protección incluye el uso de herramientas antisuplantación y correo electrónico de verificación capaces de reducir el número de mensajes potencialmente fraudulentos que llegan a las bandejas de entrada de los usuarios. Por ejemplo, las empresas pueden marcar ciertas frases como "acción urgente" o "transferencia de fondos" para limitar el riesgo de ataques de phishing.
Mientras tanto, la IA y las herramientas automatizadas pueden ayudar a acortar el tiempo necesario para que las organizaciones detecten y, por lo tanto, mitiguen los ataques. Según Brendan Fowkes, líder global de tecnología de la industria para la atención médica en IBM, las empresas de atención médica que utilizaron IA y herramientas de automatización fueron capaces de detectar y contener incidentes 98 días más rápido que el promedio. Además, las empresas que utilizan estas soluciones ahorraron un promedio de casi 1 millón de dólares.
Los ataques de ransomware a las organizaciones de atención médica continúan aumentando a medida que los delincuentes cibernéticos reconocen el valor de los datos operativos y de los pacientes en la acción convincente de las empresas afectadas.
Si bien es imposible eliminar por completo el riesgo de ransomware, las empresas pueden reducir su potencial de compromiso combinando herramientas de protección de correo electrónico con soluciones de detección de IA capaces de automatizar procesos clave e identificar problemas potenciales antes de que comprometan los datos pertinentes de los pacientes.