La pandemia ha acelerado el proceso de cambio en el sector sanitario. Tanto los centros médicos y hospitales como la propia Administración Pública han agilizado e intensificado el uso de soluciones digitales para optimizar ámbitos como la atención al cliente, la relación con los proveedores o los tratamientos y procedimientos médicos. 

El desarrollo del uso de las nuevas tecnologías favorece la mejora de la calidad y la eficiencia. Sin embargo, no hay cara sin su cruz. Las instituciones médicas son un foco de ciberataques, principalmente por la aparente facilidad con la que acceden a sus sistemas, pero también por los resultados que obtienen con los ataques. Según resume Jorge Martínez, director regional de OpenText para España y Portugal, los factores que "están creando un paraíso para los hackers" en la Sanidad tienen que ver, por una parte, con que maneja un "gran volumen de información, incluyendo información personal, médica, financiera y, en ocasiones, relacionada con investigación clínica pionera". A esto se suma que "la mayoría de los sistemas existentes funcionan con tecnología heredada, cuyas redes están mal gestionadas". Por último, hay que añadir "el gran estrés al que se enfrenta el sector desde la irrupción de la pandemia". 

"Para agravar todo esto, hay que tener en cuenta el tamaño y el alcance de la industria sanitaria, y el hecho de que el sector público depende de muchos contratistas y externos, lo que resulta en un enfoque de seguridad menos consistente", añade Martínez. Este alcance se pudo ver a finales de mayo en Irlanda, donde el sistema de salud del país se paralizó por completo tras un ciberataque de ransonware (restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio). Los ciberdelincuentes pudieron acceder a los datos almacenados y todos los programas del servicio sanitario se vieron afectados, impidiendo que los pacientes fueran atendidos. 

Lo ha sucedido en Irlanda no es una excepción. Y aunque la Sanidad ya era vulnerable anteriormente, las debilidades a nivel de ciberseguridad se han incrementado con el acelerón tecnológico y las tensiones por el aumento de actividad que han tenido lugar durante la pandemia. En Francia, por ejemplo, han sufrido recientemente una serie de ataques importantes en su sistema sanitario. Y en España, en el último año el sector sanitario ha sido uno de los más afectados por los ciberataques: más de 500 instituciones notificaron incidentes o reportes de vulnerabilidad, lo que supone un repunte del 48% con respecto al año anterior, según el Instituto Nacional de Ciberseguridad de España (INCIBE).

Consecuencias

Además de la repercusión sobre los pacientes, estos ataques tienen consecuencias económicas derivadas tanto de la paralización del sistema como del dinero que normalmente exigen los hackers para poner fin a la acción. "Además de las pérdidas económicas ligadas a la parada de actividad, se puede ver afectada la atención a los pacientes, incluso con graves consecuencias para sus vidas. Esto hace que el centro sanitario tenga que tomar decisiones rápidas y puede verse forzado a ceder al chantaje", explica Laura Prats, Cyber Risk Manager de Sham (Grupo Relyens) en España. De acuerdo con esta experta, existe incluso la posibilidad de que obtengan una "doble recompensa" debido al "valor de la información secuestrada". "Además de bloquear el acceso del centro sanitario a los datos, es habitual que los ciberdelincuentes roben la información y amenacen con publicarla o la vendan en la darknet", asegura. 

Es por eso que las organizaciones sanitarias están llevando a cabo mejoras de ciberseguridad. Según un estudio realizado por MIT Technology Review en diciembre, el 58% de las empresas y agentes encuestados indicaron que las inversiones para defenderse de los ciberataques eran una gran prioridad, y la mejora de la seguridad de los endpoint era una inversión esencial. 

En España se están dando los primeros pasos en el ámbito público, ahora que el Consejo de Seguridad Nacional ha incluido la ciberseguridad como una prioridad de la Estrategia de Seguridad Nacional -desarrollada por el Ministerio de Asuntos Exteriores y de Cooperación-. Y en mayo el Consejo de Ministros aprobó la puesta en marcha de una paquete de medidas urgentes en materia de ciberseguridad para mejorar las capacidades de defensa virtual del sector público.

"La ciberseguridad también está presente como un factor ligado a la digitalización en todos los planes de recuperación tras la pandemia y nos consta que la Administración quiere reforzar la colaboración en el sector para potenciar la capacidad de detección y reacción ante los ciberataques", detalla Prats, quien considera que aunque se han realizado inversiones en los últimos años, "aún queda trabajo por hacer". 

En el ámbito privado, el "Informe de Ciberpreparación 2020" de Hiscox revela que las 7 de cada empresas del sector tienen el propósito de elevar el gasto en ciberseguridad.  

Adelantarse al hacker

"El problema es el tiempo, pues los ciberdelincuentes siempre son muy rápidos y van un paso por delante. Por lo tanto, la respuesta debe de ser lo más contundente posible con un plan específico para el sector", señala la Cyber Risk Manager de Sham, grupo europeo especialista en gestión de riesgos en el sector salud y sociosanitario. 

Teniendo en cuenta que el proceso de digitalización afecta a cada vez más procesos y dispositivos médicos, y que la mejora de la conectividad con la implementación del 5G y el uso del Internet de las Cosas (IoT) representan avances clave en la forma en que los hospitales atienden a los pacientes, los expertos ven prioritario que el sector sanitario español refuerce la protección y seguridad digital.

El primer paso, en opinión de Laura Prats, es "ser conscientes del riesgo que se tiene y cómo puede afectar al centro. Y este debe ser un convencimiento de la dirección del centro, se debe tener claro que digitalización va de la mano de ciberseguridad".

Desde este punto de partida, las empresas deben asegurarse de que cuentan con políticas y "procedimientos de seguridad claramente definidos", indica el director regional de OpenText para España y Portugal. Esto supone abordar la educación de los empleados, "que constituye la base de todas las estrategias eficaces de ciber resiliencia y protección de datos". También conlleva contar con unas directrices de buenas prácticas para proteger la información, "especialmente cuando se almacenan datos sensibles en la investigación", además, de hacer copias de seguridad continuas para ser capaces de restablecer rápidamente el servicio operativo.

Jorge Martínez recomienda además desplegar "controles de ciberseguridad multicapa para ayudar a detectar o bloquear cualquier acción que rompa la primera línea de defensa: las personas de la organización" y enumera los 'básicos': tener siempre actualizados tanto los sistemas operativos como los softwares de seguridad o antivirus, además emplear servicios de detección de amenazas y anomalías.

Y desde Sham recuerdan que, aunque de momento en España no hay fondos específicos para ciberseguridad en Sanidad, sí que es uno de los ejes para los proyectos de los Fondos NextGenerationEU, donde existirán partidas específicas para asuntos derivados de la ciberseguridad. "Esperemos a ver cómo se concreta en los proyectos de cada comunidad y en el sector en general, pero es una oportunidad que no se puede desaprovechar", concluyen.