El historial de un paciente puede valer hasta mil euros; por eso es uno de los sectores favoritos de los ciberdelincuentes, por delante de banca, transporte o energía
Acceder a los datos médicos de los centros de salud es uno de los negocios más lucrativos de los ciberdelincuentes. Por dos razones: a menudo, además de conseguir información confidencial muy valiosa, como historiales médicos, datos financieros y otros datos personales, pueden paralizar servicios del sector como la emisión de recetas o la gestión de citas médicas. Con todo el escándalo que ello conlleva.
Además, esa información tiene muchísimo valor en el mercado negro. Así, según un informe de ENISA sobre las amenazas de ciberseguridad en la salud en la UE, por un historial médico pueden llegar a pagar entre 30 y 1.000 dólares, mientras que una tarjeta de crédito no vale más de 6 dólares; y eso en el mejor de los casos.
No es de extrañar así que el sector salud se haya convertido en uno de los principales objetivos de los ciberdelincuentes. Según el mismo estudio, este sector sufre el 8% de los incidentes de ciberseguridad; muy por delante de la banca (6%), el transporte (6%) o la energía (4%).
Los proveedores de atención médica son los más afectados, con un 53% del total de incidentes. Los hospitales, en particular, son los más vulnerables, con un 42% de los casos reportados. Además, otras entidades de la sanidad como las autoridades sanitarias y la industria farmacéutica también han sido objetivo de ataques.
Change Healthcare: un ataque sin precedentes a la sanidad privada
Uno de los mayores ataques sanitarios de la historia, ocurrido en febrero de este año 2024, lo sufrió Change Healthcare, una empresa que procesa pagos y recetas médicas en Estados Unidos. Fue ejecutado por el grupo de ransomware Blackcat, e impidió a hospitales y centros médicos emitir recetas, recibir pagos y realizar otras funciones críticas.
Las consecuencias de un ciberataque en el sector sanitario pueden ser devastadoras. Además del perjuicio económico, este tipo de ataques representa un peligro real para la salud de los pacientes, ya que puede poner en riesgo la atención médica e, incluso, ocasionar daños físicos.
«En el ámbito sanitario, un ciberataque va más allá de una simple filtración de datos. Los riesgos para la salud de los pacientes son reales y potencialmente mortales. Imaginémonos un escenario donde los sistemas informáticos de un hospital se ven comprometidos, lo que provoca la desactivación de equipos médicos críticos o la alteración de registros de medicamentos. Las consecuencias podrían ser catastróficas: retrasos en la atención, diagnósticos erróneos e incluso la administración de tratamientos incorrectos. La ciberseguridad en el sector sanitario no es solo una cuestión de privacidad, es una cuestión de vida o muerte”, explica Francisco Valencia, CEO de Secure&IT.
Los asaltos más comunes para obtener datos médicos
Los ciberataques al sector salud tienen como objetivo el robo de datos sensibles, como historiales médicos, información financiera y otros datos personales. Estos ataques se realizan a través de ransomware, phishing, etcétera, métodos que afectan a la disponibilidad de datos, la prestación de servicios y la calidad de la atención al paciente. El ransomware es el tipo de ataque más frecuente, seguido del robo de datos y los ataques de intrusión.
Y las principales puertas de entrada suelen ser una mala configuración de seguridad, errores humanos en la operación, ataques de ingeniería social y ataques en la cadena de suministro. La falta de recursos, la complejidad de los sistemas informáticos y la falta de concienciación del personal sanitario agravan aún más la situación.
Además del ransomware, existen otras amenazas importantes para el sector como los ataques de denegación de servicio (DDoS), que tienen como objetivo sobrecargar los sistemas informáticos de una organización con tráfico falso, lo que los hace inaccesibles para los usuarios legítimos. Los ataques DDoS pueden causar graves interrupciones en la actividad de las organizaciones sanitarias, lo que puede tener consecuencias importantes para los pacientes.
Fuente: emprendedores.es
