Los ataques informáticos son solo un problema más sobre el que los hospitales de Miami deben preocuparse en este momento

Los sistemas de atención médica de los Estados Unidos están abrumados con muchas cosas en este momento: pacientes enfermos y moribundos, escasez de equipos, personal médico sobrecargado de trabajo y más.

Como si no fuera suficiente, el FBI e Interpol han advertido que los hospitales corren mayor riesgo de sufrir diversos ataques informáticos, incluidos hackeos de los registros médicos y ataques de ransomware: un software diseñado para bloquear un sistema informático hasta que se pague un rescate para recuperar el acceso.

Los expertos en seguridad informática de Miami dicen que es fundamental que los sistemas de salud dupliquen sus iniciativas de seguridad, especialmente porque los equipos médicos pueden ser particularmente vulnerables a los ataques informáticos y los registros de los pacientes son algunos de los documentos más lucrativos de la dark web.

«Las organizaciones de atención médica siempre estuvieron en riesgo», dice Franklin Mesa, instructor jefe del Cybersecurity Center of the Americas de Miami Dade College. «Pero ahora, a causa del COVID-19, todos son vulnerables porque están muy ocupados. Los pueden tomar desprevenidos, por decirlo de alguna manera».

La información médica vale mucho más que los números de Seguridad Social o tarjeta de crédito sueltos. Dichos registros contienen un tesoro de información personal que se puede usar para el robo de la identidad médica y permitir que una persona acceda a atención médica o medicamentos recetados usando el nombre de otra persona, inventar reclamaciones de seguro o solicitar Medicare o Medicaid en forma fraudulenta.

Si los registros médicos están encriptados, quizá los piratas informáticos no puedan ver todo su contenido, dice Mesa. En ese caso, los ataques de ransomware serían una alternativa más rentable.

«[Los piratas informáticos] saben que los documentos son tan sensibles para las organizaciones que seguramente van a querer pagar por recuperarlos», dice Mesa. «Así que pueden no tener acceso a la información, pero podrían tomarla como rehén y pedir un pago para recuperarla».

Incluso si un hospital o un consultorio médico adopta medidas para prohibir el acceso no autorizado a sus sistemas, un pirata informático podría codificar los registros y dejar a los administradores sin acceso.

«[El sistema de salud] tiene un lockbox, que sería como una caja fuerte informática. Y los atacantes guardan esa caja en sus propias cajas», dice Mesa.

Quedarse sin acceso a los registros de los pacientes podría no dejarle a un hospital más alternativa que usar papel y lápiz para escribir la información importante hasta que se restablezca el acceso, si es que esto sucede. Un hospital podría verse forzado a pagar un rescate o arriesgar la pérdida de los historiales médicos de sus pacientes.

El FBI no recomienda el pago de un rescate en respuesta a un ataque informático, ya que el pago no garantiza el restablecimiento del acceso. Sin embargo, las víctimas de ataques ransmoware pagaron más de $140 millones a piratas informáticos entre 2013 y 2019.

Según la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de los Estados Unidos, este año más de 75,000 residentes de Florida se vieron afectados por violaciones a la confidencialidad de sus datos médicos que siguen en investigación. Las mayoría de los casos tuvieron su origen en una violación de NCH Healthcare System, con sede en Naples. Un incidente de piratería informática que afectó a 63,581 pacientes.

Michael Garcia, director de informática de Jackson Health System, dice que mientras que los hospitales están en alerta por el aumento de la actividad de piratería informática o fraudulenta en relación con la pandemia, Jackson siempre fue proactiva en términos de fortalecer y optimizar su seguridad. Y dice que el equipo de TI de Jackson tiene herramientas que analizan las actividades y comportamientos de todos los dispositivos de sus redes.

«Conozco el tráfico que debería tener cada dispositivo con base en tendencias y patrones históricos», dice Garcia. «Entonces si noto algo diferente, por ejemplo si un dispositivo hace algo a las 2 de la mañana que nunca antes había hecho, podemos determinar si esa máquina podría ser vulnerable o tener riesgos de seguridad y desconectarla de nuestra red».

Jackson también envía emails internos de robo de identidad y usa otras formas de ingeniería social para determinar si es probable que los empleados caigan en alguna estafa y arriesguen su usuario y contraseña de trabajo u otra información.

«La clave es la capacitación», dice Garcia. «Si una persona cae en la trampa, le informamos que puso en riesgo a la organización».

Garcia dice que uno de los motivos por los que la vigilancia es particularmente importante en entornos de atención médica es porque hay muchos equipos biomédicos que no se actualizan con la frecuencia o facilidad de, por ejemplo, un smartphone. Hace unos años, una máquina de radiografías portátil de Jackson que no estaba actualizada se infectó con un virus de ransomware, dice Garcia.

Cuando TI investigó qué había pasado, resultó ser un ataque de ransomware WannaCry, que se propagó rápidamente a cientos de miles de redes informáticas de todo el mundo en 2017.

Nunca hubo riesgo de acceso a la información del radiógrafo, dice Garcia, pero el incidente muestra la vulnerabilidad de algunos equipos médicos a los virus porque no se actualizan de manera constante. Incluso equipos que salvan vidas, como los respiradores, podrían ser vulnerables si no se mantienen actualizados, dice Garcia. Y los piratas informáticos que apuntan a los proveedores de atención médica saben que los equipos y software médicos no se pueden actualizar de manera constante.

«Los piratas informáticos se dan cuenta de eso», dice Garcia. «El motivo por el que encriptan cualquier equipo vulnerable es que pueden pedir un rescate con la esperanza de que contenga algo de valor por lo que una organización estaría dispuesta a pagar».

Sin embargo, Garcia dice que Jackson se ha estado preparando durante mucho tiempo para lo que podría surgir como ataque informático y se siente confiado con sus medidas de seguridad.

Jorge Rey, director de Seguridad Informática de la firma contable y de consultoría Kaufman Rossin, dice que los que más le preocupan son los proveedores de atención médica más chicos, y no tanto los grandes sistemas hospitalarios.

«Los proveedores de atención médica más chicos son los que no necesariamente tienen un presupuesto para una función de seguridad más especializada en su entorno», dice Rey.

Explica que la posibilidad de que los hospitales sufran algún tipo de ataque informático o filtración de datos es absoluta. La pregunta es qué alcance e impacto podría tener el incidente. Los sistemas de atención médica más grandes tienen las herramientas necesarias e invierten en seguridad lo suficiente para recuperarse rápidamente de un ataque.

«Las organizaciones más pequeñas pueden quedar destruidas», dice Ray.

Pagar el rescate de registros médicos bloqueados podría arruinar a una pequeña organización de atención médica. Si bien muchas organizaciones se ven obligadas a tomar decisiones financieras difíciles en este momento, Ray dice que ahora es el momento de priorizar su presupuesto de seguridad para los proveedores de atención médica. Y si la seguridad no era una de las prioridades, ahora debe serlo.

«Creo que es el momento de evaluar su nivel de exposición», dice Ray. «Si pasa algo malo, los impactos serían catastróficos y en este momento las compañías no están en condiciones de afrontar incidentes catastróficos. Invierta en seguridad. Si no lo analizó, creo que es un buen momento para hacerlo».