A partir de la pandemia global de 2019, uno de los sectores más vulnerables y frecuentemente atacados a nivel global ha sido el hospitalario, superando incluso al sector financiero y al minorista. Los delincuentes lo han puesto debido a varios factores, incluyendo la inmadurez de los entornos de protección y tecnología de la información (TI) en los hospitales. Además, debido al creciente valor de los datos personales, que ahora supera al de los datos bancarios, los hospitales se han convertido en objetivos atractivos para los ciberataques.
La infraestructura hospitalaria se ha vuelto crucial para cualquier nación, y un ataque cibernético puede tener consecuencias graves, comparables a las que afectarían a los sistemas de agua, redes eléctricas o la industria petroquímica. Sin embargo, el sector hospitalario ha quedado rezagado en términos de ciberseguridad debido a la compleja convergencia que existe hoy entre el mundo de TI y la tecnología operativa (OT).
Factores de vulnerabilidad
Vayamos un poco más a fondo en los aspectos que impactan de manera importante a los entornos hospitalarios privados y sus consecuencias.
En primera instancia, los equipos médicos modernos, como tomógrafos y dispositivos para análisis sanguíneos, han priorizado la funcionalidad y precisión sobre la protección de la información. Esto se debe en parte a que los fabricantes de estos aparatos no han integrado la ciberseguridad desde la fase de diseño del producto. La funcionalidad y los avances tecnológicos han sido las prioridades, dejando de lado la protección de los datos que estos dispositivos manejan.
Asimismo, En los hospitales, los equipos médicos de última generación envían datos automáticamente a los repositorios de TI para crear expedientes médicos electrónicos. Esto mejora la precisión de los diagnósticos y la calidad del tratamiento, pero también aumenta el riesgo de exposición de datos sensibles. La automatización y el intercambio de información entre OT y TI son fundamentales, pero también representan un punto de vulnerabilidad significativo.
Por otro lado, debido a una cuestión de negocio y mejora en la experiencia de los usuarios, las redes hospitalarias a menudo no establecen un perímetro de Zero Trust. Esto permite la conexión de dispositivos personales de médicos, representantes farmacéuticos y otros usuarios que, en su mayoría, no cuentan con una protección adecuada. La falta de un perímetro de seguridad claro facilita el acceso no autorizado a la red, aumentando el riesgo de ciberataques, cuestión con la que el sector debe convivir dado que es una funcionalidad necesaria para el desarrollo de la organización.
Un punto vulnerable también lo son los equipos de cómputo personales utilizados por los colaboradores de los nosocomios ya que no son gestionados centralmente, lo que dificulta el control y la implementación de medidas de seguridad adecuadas. En el mejor de los casos, estos dispositivos solo cuentan con protección básica, como antivirus y contraseñas, lo cual es insuficiente para las necesidades de seguridad de un entorno hospitalario.
Por último, los usuarios y pacientes que necesitan conectarse a la red de la clínica para consultar datos también representan un punto de vulnerabilidad. Estos usuarios a menudo no cumplen con los estándares de seguridad necesarios, lo que puede facilitar la entrada de amenazas a la red interna del hospital.
Acciones preventivas
Para abordar estos desafíos, es esencial implementar una estrategia de ciberseguridad que se adapte a las particularidades del entorno hospitalario.
- Segmentación y protección de redes. Se deben segmentar el acceso de modo que la red utilizada por los usuarios no se comunique con la red de los médicos, y esta, a su vez, no se relacione con la red de OT. La gestión de acceso debe enfocarse en proteger los datos médicos y personales como prioridad, cifrando y almacenando de manera segura la información obtenida de dispositivos médicos. La implementación de un enfoque de Zero Trust, que priorice la protección de datos sobre el perímetro, es fundamental, protegiendo dicha información en aplicaciones, dispositivos, redes y repositorios.
- Protección de dispositivos. Es fundamental que únicamente los dispositivos que cumplan con las políticas de ciberseguridad accedan a la red hospitalaria. Esto puede incluir requisitos o políticas mínimas, garantizando un control básico de seguridad para los diversos equipos que se conectan a la red. También se deben establecer políticas claras sobre el uso de dispositivos personales y proporcionar herramientas de seguridad adicionales cuando sea necesario.
- Redes separadas para cada tipo de usuario. Aunque no se debe limitar la funcionalidad y conexión de dispositivos para los usuarios, estas redes no deben tener acceso a la red corporativa del hospital. Con esto se evita que usuarios malintencionados accedan a información confidencial de pacientes, médicos y de la propia institución. Las redes públicas deben estar estrictamente separadas de las redes internas del hospital y deben contar con medidas de seguridad adecuadas para prevenir el acceso no autorizado.
- Estrategia de Security Gateway. Implementar dispositivos que aseguren la transferencia segura de información del mundo de OT al mundo de TI se vuelve crítico en el actual entorno digital. Esto protege los equipos legados de infecciones por malware provenientes de la red de TI. Los Security Gateways actúan como filtros y puntos de control que supervisan y protegen el flujo de datos, principalmente de la red OT a la red IT sin que sea a la inversa, salvo en casos necesarios por temas de negocio.
- Cumplimiento de controles de seguridad en TI. Se recomienda asegurarse de que el entorno de TI cumpla con todos los controles de seguridad determinados por una estrategia de riesgos. Esto incluye la protección de servidores, comunicaciones, portales y sistemas de facturación. La implementación de una política de ciberseguridad robusta debe ser continua y adaptable a nuevas amenazas y vulnerabilidades.
Protección constante
La ciberseguridad en entornos hospitalarios requiere una atención impostergable y una estrategia integral conforme los mundos de TI y OT convergen, así como debido a la alta vulnerabilidad de los datos personales y la infraestructura crítica que representan los hospitales.
La implementación de medidas de seguridad robustas, desde la segmentación de redes hasta la protección de dispositivos y el cumplimiento de controles de seguridad en TI, es esencial para proteger la información sensible y garantizar la continuidad de los servicios hospitalarios.
Prepararse para superar estos desafíos permitirá a este sector crítico mejorar su resiliencia frente a las ciberamenazas, proteger mejor a los pacientes y su información personal y médica, y asegurar que los hospitales continúen operando de manera segura y eficiente en el entorno digital actual.
