Promocione sus productos o servicios con nosotros
Foto Bloguero

Biotecnosalud

25 may 2017

¿Están preparados los centros de salud ante posibles ciberataques?

Ser hackeado se ha convertido en la pesadilla de hoy. Si bien ser víctima de cualquier tipo de actividad delictiva es una experiencia que impacta la economía de las personas y de las empresas, cuando de delitos informáticos se trata, el sinsabor es amargo y tormentoso.

Y es que el sector salud se ha convertido en el principal objetivo de los piratas informáticos, en ocasiones por encima del financiero o gubernamental. Con toda la introducción de la informática en este sector, historias clínicas digitales en red, el ’internet de las cosas’, y  dispositivos médicos conectados y configurables a distancia, se ha abierto la puerta a una modalidad delictiva para la cual, ni proveedores ni centros hospitalarios están preparados.

Puede parecer extraño, pero la posibilidad de generar ataques a dispositivos médicos aprovechándose de las ventajas de la conectividad inalámbrica es una realidad. Muchos dispositivos médicos tienen la característica de conectarse inalámbricamente, controlar de forma remota o incluso algunos le permiten al especialista ajustar parámetros específicos a dispositivos implantados. Por lo tanto, una persona que lleve uno de estos en su cuerpo querrá ser controlado de forma indiscriminada por un criminal. Desafortunadamente, una gran cantidad de dispositivos médicos son muy vulnerables. Entonces es posible que usted empiece a escuchar recomendaciones como “deshabilitar la opción de conectividad de los marcapasos”.

Entre tanto, Johnson & Johnson el año pasado emitió un comunicado indicando que un modelo particular de bombas de insulina podría ser vulnerable a virus. Por su parte, St. Jude medical, temiendo que los pacientes  con dispositivos implantados puedan sufrir de ataques por hackers, ha invertido tiempo y dinero en mejorar su tecnología procurando que dispositivos médicos tales como los desfibriladores, marcapasos, entre otros, sean “impermeables a los ataques informáticos”.

Según Tren Micro Survey, solo en los Estados Unidos podrían existir más de 36.000 dispositivos médicos con alta vulnerabilidad, convirtiéndose en blanco fácil de ataque cibernético. En América Latina el caso puede ser aún más crítico, considerando que existe un volumen alto de tecnologías soportadas con sistemas operativos antiguos, tales como Windows XP o Windows Server 2003, en los cuales es muy complejo realizar actualizaciones y mantener una protección adecuada.

Recomendaciones para mejorar la seguridad informática en los centros sanitarios.

Esta es la realidad del mundo, la tecnología al servicio de los pacientes, pero con oportunidades para los delincuentes. No es mucho el progreso logrado en esta materia. Los últimos ataques generados por Wannacry pusieron en jaque a cientos de compañías y hospitales a nivel mundial, dejando un claro panorama de desprotección.
Pero el problema tiene un alcance mayor, el apetito de los hackers está muy enfocado a la información almacenada en las historias clínicas digitales de las instituciones de salud, algunas con niveles de seguridad mínimos. Y es que detrás de este apetito está la razón principal: el dinero. Una historia clínica puede oscilar entre 200 a 2,000 dólares, y aunque cueste creerlo, existe un mercado negro que manifiesta su interés en este tipo de datos.

El ataque más popular por estos días es el ransomaware, un tipo de malware que encripta los archivos y restringe su acceso a cambio de un rescate económico, generalmente en términos de dinero digital, como es el caso de los bitcoins. Todo el paisaje de la extorsión ha cambiado, en palabras de los expertos: “O las empresas entran en esta nueva forma de vida digital, o estarán potencialmente fracasadas”.

Muchos de estos ataques, como el que sufrió el Rainbow Children's Clinic de Texas, en Estados Unidos, el verano pasado, toman la ruta tradicional de encriptar los registros digitales y mantenerlos como rehenes. Sin embargo, una nueva ola de ataques de ransomware toma un enfoque diferente, interrumpiendo el acceso a los sistemas digitales y luego exigiendo rescate a cambio de liberar los servicios para que puedan funcionar con normalidad. Por ejemplo, en el ataque de ransomware del Centro Médico Presbiteriano de Hollywood, también en Estados Unidos, el año pasado, las computadoras estuvieron por fuera de línea durante una semana y otro generado contra un hospital alemán al mismo tiempo inhabilitó el correo electrónico forzando a los empleados a usar máquinas de papel y fax como contingencia. La efectividad de la retención de datos o sistemas de rescate se basa en la urgencia de recuperar el control. Por lo tanto, los hospitales se enfrentan a perder no solo dinero sino recursos críticos para mantener a los pacientes vivos.

En este punto podemos afirmar que los atacantes informáticos evolucionan sus tácticas con una velocidad mayor que las estrategias de protección. Afortunadamente, existen algunos avances en esta materia. A partir de 2013, la Oficina para la Administración de Medicamentos y Alimentos de Estados Unidos (FDA, por su sigla en inglés) comenzó a evaluar seriamente la ciberseguridad de los dispositivos médicos como un criterio para la aprobación del producto, con actualizaciones desde entonces. La FDA se basó en la orientación del Instituto Nacional de Estándares y Tecnología (NITS, por su sigla en inglés), en un documento llamado ‘Marco para mejorar la seguridad de la infraestructura crítica’. El NIST trabaja en la actualidad en revisiones y actualizaciones documentales, y también lanzó un documento distintivo que detalla un enfoque fundamental para desarrollar sistemas digitales seguros y confiables.

Algunas recomendaciones para mejorar la seguridad informática en los centros sanitarios

  • Los ingenieros biomédicos y los profesionales de informáticos deben trabajar juntos para diseñar e implementar estrategias adecuadas que permitan mitigar los riesgos ante ciberataques.
  • Una cultura de seguridad, las capacitaciones y la formación es la mejor forma de concientizar a los colaboradores sobre los riesgos de seguridad. Por ello, es fundamental que los centros sanitarios cuenten con un plan de formación periódico, actualizado y con las principales medidas de prevención.
  • Como regla general, nunca se debe utilizar el correo electrónico para intercambiar datos de salud, y en el caso de que haya que usarlo, siempre debe realizarse entre cuentas corporativas de la organización de salud, firmando y cifrando los datos trasmitidos con un certificado electrónico.
  • La privacidad de la contraseña es también un factor muy importante que no se puede dejar de lado. El profesional debe elegir una contraseña segura y que no sea compartida por ningún medio para evitar que alguien suplante su identidad.
  • Por último, para evitar infecciones en los ordenadores y entrada de virus a la intranet del centro, no se deben conectar dispositivos extraíbles que hayan sido utilizados en otros equipos informáticos.

Palabras relacionadas:
Delitos informáticos sector salud, cómo prepararse ante un ciberataque, prevención ante delitos informativos, pacientes con marcapasos, pacientes con dispositivos médicos en su cuerpo.
x
Ricardo
07 de septiembre de 2018 a las 10:10

Respecto a la seguridad de la información en salud, existen ya mecanismos y certificaciones que ofrecen hasta un %99.95 de seguridad como la ISO 27001 y HIPAA Compliance, las cuales exigen rigurosos protocolos de encriptación y cifrado de datos. El éxito está en elegir las plataformas que cumplan con estos requerimientos y se preocupen por hacerlos cumplir. www.medfarsolutions.com tiene una plataforma que es la única certificada por el sistema de salud de Quebec en Canadá y es ya muy fuerte en México también. Esta ha sido una de las principales razones para que importantes cadenas internacionales de clínicas como Christus Muguerza y Giovanny Bojanini la hayan elegido.

Juliana
26 de mayo de 2017 a las 10:01

Muy interesante abrir el debate sobre este tema, como Comunicadora Social y Periodista que está inmersa en lo digital percibo que aún hay muchas áreas que desconocen o se hacen los ciegos frente a estos temas y necesitan no sólo conocer sino tener personas capacitadas en seguridad informática, no estamos hablando de futuro, es una realidad que así como existen muchos desarrollos también hay mayor vulnerabilidad y me parece muy delicado que esto trascienda a campos como la salud donde la información, la integridad y la vida son las mayores damnificadas. Muy interesante el artículo. Saludos.