Ciberataques a infraestructuras sanitarias

Óscar Maqueda    29 enero, 2020
Ciberataques a infraestructuras sanitarias

En el momento de escribir este artículo parece que la cibercrisis del hospital de Torrejón ya está contenida y podemos respirar aliviados, pero, ¿hasta cuándo? En mi doble faceta de sanitario y ciber, he tenido la posibilidad de conocer los sistemas con los que se trabajan en los hospitales: qué información contienen, cuánto de crítica es la información que manejan y la dependencia que se tiene de ella y, salvo honrosas excepciones, qué poco conscientes son las personas que manejan los datos sanitarios de la importancia de unas medidas de seguridad mínimas (y no es culpa suya).

Efectivamente, el ordenador en el mundo sanitario es un “mal” necesario: lleva las agendas, controla los historiales… pero a la hora de la verdad, en un box vital, pocos ordenadores verás. No obstante, un sistema hospitalario es tremendamente dependiente de las tecnologías, pues gestiona las relaciones con proveedores, lo cual es un flujo constante de órdenes de compra, control de los stocks, proveedores con distintos sistemas, etc. Un hospital tiene almacenaje para dos o tres días máximo y en el mejor de los casos para algunos insumos críticos, pero no para resistir sin una cadena de suministro íntegra JIT.

Pero, ¿cuál fue la primera vez que fuimos conscientes? El primer ataque importante lo recibió el NHS (sanidad inglesa pública) y fue de mano ni más ni menos que de WannaCry: 200.000 ordenadores, 16 centros sanitarios de distinto tamaño… Uno pensará que un ciberataque nos devuelve a trabajar con papel y cancelar algunas pruebas, alguna cirugía… pero no es así, hay una correlación con la morbilidad después de un ciberataque, y esto sí es peligroso.

¿Qué implicaciones tiene esto?

Esto es exactamente lo que han advertido los investigadores de la Universidad de Vanderbilt y la Universidad de Florida Central. Su trabajo encontró una correlación entre un hospital que experimenta una violación de datos y una mayor probabilidad de que sus pacientes de ataque cardíaco mueran en 30 días, con posibles retrasos potencialmente mortales en electrocardiogramas que continúan durante al menos tres años después de la brecha. El estudio también informó de que los hospitales que experimentaron violaciones de datos registraron un aumento del 0,36 % en el número de muertes de pacientes que ocurrieron dentro de los 30 días posteriores a un ataque cardíaco, durante al menos tres años después del ciberataque.

Según la Fundación Británica del Corazón, sólo en Reino Unido, un paciente de infarto es hospitalizado cada cinco minutos. En Estados Unidos, la Asociación Americana del Corazón estima que hay un ataque al corazón cada 40 segundos. Por lo tanto, un aumento del 0,36 % en las muertes podría significar la pérdida de 2.840 vidas al año, sólo en Estados Unidos.

Claro, después del incidente del NHS se cambiaron los protocolos, pasaron de “la contraseña del control de enfermería de la cuarta planta es CUARTA y el del trauma de guardia, TRAUMA” a cambiar de contraseña PERSONAL cada 30 días y con recuerdo de las ultimas 20, eso sí, sin números correlativos. Hemos pasado del todo vale, al password manager draconiano por usuario, nada de usuarios genéricos. Y esto, nunca funciona.

¿Qué es lo que se busca cuando se ataca un sistema sanitario o un hospital?

Unos dirán que cada registro de un paciente vale mucho dinero y si el paciente es “alguien”, eso se multiplica. También hemos oído aquello de just for fun, pero si tuviéramos que categorizar los ataques por su motivación, lo haríamos así:

  1. Cibercrimen: alto impacto, busca un beneficio económico, acceso a los datos de pacientes y hacer negocio con ellos. Ransomware, secuestro puro de datos o criptominado.
  2. Espionaje y amenazas estatales: se buscan objetivos (pacientes) que tengan un impacto mediático importante y puedan ser blanco de ataques dirigidos. En el apartado de las amenazas estatales, ser capaz de paralizar el sistema sanitario de un hospital es directamente un acto de terrorismo. Aquí tenemos el problema de la atribución.
  3. Sistemas médicos específicos: algunos fabricantes, por no decir todos, no han prestado la debida diligencia y han protegido los sistemas ocultando cómo componen la información, cómo se transmite, cómo se almacena, y al final el protection thru obscurity no es protección ninguna. En este caso, ser capaz de modificar una radiografía, un TAC o cualquier otro método de diagnóstico por imagen busca objetivos muy concretos. El grupo OrangeWorm fue especialmente activo, aunque se sospecha que únicamente buscaba (según las fuentes) espionaje industrial, aunque algún día lo sabremos.

A fecha de hoy hay hospitales (sí, aquí en España) cuyos puestos de trabajo funcionan con Windows XP, o donde el software de triage solo está para XP, o donde la aplicación de admisión es vieja y solo funciona con esa versión del navegador, o que el software de laboratorio no se ha actualizado porque es caro… Cuando seamos capaces de ponernos de acuerdo en lo que necesitamos, podremos exigir a la industria sistemas seguros, interoperables, con estándares abiertos, etc.

¿Pero esto tiene solución?

Solución no, pero podemos establecer algunas líneas base:

  1. Formar al usuario. Y entrenarlo, simulando ataques de phishing, y repitiendo, simulando ataques de ingeniería social, y repitiendo… Todos los años hacemos simulacros de alarma y evacuación, pero ¿y simulacros de ciberataques? Para ello deberíamos tener un protocolo de actuación, ¿verdad?
  2. Dotar del presupuesto necesario a la actualización de los equipos, algo que parece obvio pero que no se hace. Todos sabemos que el presupuesto que va a IT no va a comprar algún aparato molón nuevo.
  3. Si hay versiones de software concretas (Explorer) o versiones de Sistema Operativo (XP) para determinadas aplicaciones intocables, hay que virtualizarlas.
  4. Aplicar los parches, ¡rápidamente!
  5. Implementar doble factor de autenticación en los puestos de trabajo o al menos en los sistemas más críticos: quizás biometría, RFID… Algo que no sea engorroso para el usuario.
  6. MDM: si los usuarios usan tabletas, móviles, etc., la Gestión de Dispositivos Móviles es fundamental.
  7. Almacenar y asegurar los datos: hacer backups y sobre todo comprobar que esos backups son recuperables. Ya no es necesario tener complejos sistemas de cintas, el cloud es un gran aliado.
  8. Hacer simulacros: solicitando la ayuda de un pentester de manera regular.

Efectivamente todo esto no es nada revolucionario, son medidas que cualquier empresa debería aplicar de manera regular. Todo el equipamiento de telemedicina ha de estar libre de passwords por defecto, cuentas de administradores sin password, etc. Exige al proveedor unas medidas de seguridad acordes con la política de seguridad de tu organización. Los movimientos laterales son factibles, muchos aparatos permitirán movimientos laterales, ten cuidado.

Siempre hemos dicho que la ciberseguridad no es sólo software, hardware, protocolos, copias de seguridad… Es una actitud, y tus usuarios y tus datos están en el centro de todo ello.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *