¿Los jáqueres rusos podrían inutilizar a los sistemas de atención de la salud de EE. UU.?

VIERNES, 11 de marzo de 2022 (HealthDay News) -- Las personas enfermas que reciben un tratamiento para salvar sus vidas en Estados Unidos podrían convertirse en víctimas de una parte oculta de la guerra de Rusia contra Ucrania: unos despiadados ciberataques que buscan sembrar el desorden, la confusión y el caos a medida que las fuerzas terrestres avanzan.

Unos expertos en ciberseguridad advierten que los ataques lanzados contra las instituciones ucranianas tienen el potencial de alcanzar a los sistemas de atención de la salud de EE. UU., poniendo potencialmente en peligro a las vidas de los pacientes.

¿Los jáqueres rusos podrían inutilizar a los sistemas de atención de la salud de EE. UU.?

El programa de ciberseguridad del Departamento de Salud y Servicios Humanos de EE.UU. publicó un análisis la semana pasada en que advierte a los funcionarios de tecnología de la información (TI) sobre dos programas malignos (malware) rusos que podrían borrar datos hospitalarios que son esenciales para la atención de los pacientes.

Y desde principios de diciembre, la Asociación Americana de Hospitales (American Hospital Association) ha advertido sobre el aumento en el riesgo de ciberataques rusos, apuntó John Riggi, asesor nacional de ciberseguridad y riesgo de la asociación.

"Publicamos avisos en los hospitales y el sistema de salud del país, que señalan que las tensiones geopolíticas aumentarían sin duda el riesgo de ciberataques que podrían potencialmente afectar al sistema de atención de la salud de EE. UU.", dijo Riggi.

Este tipo de ataque tiene el potencial de cobrarse vidas, al impedir que médicos y enfermeros accedan a los datos necesarios sobre el paciente, y al hacer que los hospitales bajo ataque retrasen los procedimientos programados y envíen a personas enfermas de gravedad a otros centros, explicó Riggi.

Casi una cuarta parte de las organizaciones de atención de la salud atacadas por programas de chantaje (ransomware) durante los dos años anteriores dijeron que el ataque resultó en un aumento en las tasas de mortalidad de los pacientes, según un informe de septiembre de 2021, patrocinado por Censinet, una compañía de ciberseguridad.

Además, dos de cada cinco (un 37 por ciento) dijeron que estos ataques provocaron un aumento en las complicaciones en los procedimientos quirúrgicos, mientas que más de dos tercios (un 69 por ciento) afirmaron que los retrasos en los procedimientos y las pruebas han conducido a malos resultados para los pacientes, según el informe.

"No se trata de un crimen financiero", apuntó Riggi. "Es un crimen de amenaza contra la vida, y el gobierno debe responder como tal, lo que incluye operaciones ofensivas contra estos tipos malos extranjeros".

No se trata de si, sino de en qué momento

Incluso antes de que Rusia lanzara su ataque contra Ucrania, los ciberataques habían sido considerados como la principal amenaza tecnológica a la que se enfrentaba la atención de la salud en EE. UU.

El grupo de expertos en atención de la salud sin fines de lucro ECRI mencionó hace poco a los ataques de ciberseguridad como el principal peligro tecnológico para la salud en 2022.

"Todas las organizaciones de atención de la salud pueden sufrir incidentes de ciberseguridad", escribió ECRI. "La pregunta no es si un centro en particular será atacado, sino en qué momento".

Los sistemas de atención de la salud se enfrentan a un ataque constante de ciberestafas (phishing), en que se utilizan unos correos electrónicos amañados para obtener acceso a sus redes de computadoras, además de ataques en internet contra la seguridad de la TI, comentó Lee Kim, director sénior de ciberseguridad y privacidad de la Sociedad de Sistemas de Información y Gestión de la Atención de la Salud (Healthcare Information and Management Systems Society, HIMSS).

"La realidad de la ciberseguridad hoy en día es que los ciberataques de verdad están fuera de control, incluso en momentos en que no hay ningún tipo de conflicto geopolítico", lamentó Kim. "Suceden cientos, sino miles, cada día".

La Monte Yarborough, director de seguridad de la información del Departamento de Salud y Servicios Humanos (HHS) de EE.UU., se mostró de acuerdo.

"Aunque eventos como el que está ocurriendo en Europa del Este ahora mismo pueden indicar un mayor ambiente de amenaza y la necesidad de una mayor vigilancia, los malhechores con frecuencia aprovechan cualquier evento para lanzar ciberataques", afirmó Yarborough. "Los malhechores aprovechan muchos tipos de eventos, como las festividades, las elecciones y el conflicto geopolítico".

Retrasos en la atención de emergencia

Los ataques de los programas de chantaje, en que los datos de una computadora se secuestran hasta que se pague un rescate, son "la forma más prevalente de riesgo de ciberseguridad que hemos visto", apuntó Yarborough, y añadió que este tipo de ataque "sin duda plantea unos problemas de salud potenciales para los pacientes".

En uno de los peores incidentes con un programa de chantaje, alrededor de un tercio de los centros del Servicio Nacional de Salud de Inglaterra perdieron acceso a los expedientes de los pacientes y otros sistemas electrónicos importantes en mayo de 2017, después de que sus computadoras se infectaran con WannaCry, como parte de un ataque mundial.

Y la Red de Salud de la Universidad de Vermont perdió acceso a los expedientes de salud electrónicos durante casi un mes, tras un masivo ataque de un programa de chantaje en octubre de 2020 que obligó a los médicos a, entre otras medidas, reprogramar las sesiones de quimioterapia de loa pacientes con cáncer.

Los hospitales que sufren estos tipos de ataques tienen que desviar las ambulancias a otros centros, lo que retrasa la atención crítica de los pacientes con accidentes cerebrovasculares (ACV) y las víctimas de ataques cardiacos. "Es intuitivo que siempre que hay un retraso en la atención urgente, aumenta el riesgo de un resultado negativo", apuntó Riggi.

Los sistemas hospitalarios también son objetivo de los cibercriminales que quieren robar datos para obtener ganancias financieras, añadió Riggi.

"Los cibercriminales se dieron cuenta de que podían monetizar los expedientes de atención de la salud. Eran muy valiosos, para venderlos en internet profunda (dark web)", dijo Riggi.

"Somos el único sector que acumula no solo información de salud protegida, sino que también tenemos una inmensa cantidad de información de identificación personal de los pacientes: la fecha de nacimiento, la dirección, los números de la Seguridad Social", aclaró Riggi. "También tenemos una gran acumulación de datos financieros, datos de pago, número de cuentas bancarias, números de tarjetas de crédito. Y por supuesto contamos con un alto nivel de investigación e innovación médicas".

"Todos estos conjuntos de datos tienen un valor único para los cibercriminales", continuó. "Cualquiera de estos grupos de datos podrían ser un objetivo individual. Pero cuando se combinan todos en un lugar, su valor es exponencial".

Nuevas amenazas de programas malignos

El ataque ruso contra Ucrania representa una amenaza incluso más profunda para el sistema de atención de la salud de EE. UU., aseguraron los expertos.

Poco antes del inicio de la invasión rusa, unos programas malignos que pueden borrar por completo los datos de una computadora comenzaron a aparecer en Ucrania, según el informe de ciberseguridad del HHS.

Los programas malignos, HermeticWiper y WhisperGate, fueron apenas dos de una variedad de ciberataques dirigidos contra las instituciones ucranianas que ocurrieron en enero y febrero, según el informe. Ucrania respondió mediante la creación de su propio "ejército TI" para dirigirse contra la infraestructura rusa.

El problema es que cuando los programas maliciosos se liberan en el ambiente, no se puede predecir dónde acabarán, apuntó Riggi.

En junio de 2017, la inteligencia militar rusa atacó a Ucrania con el virus NotPetya, que se parecía a un programa de chantaje pero que en realidad era un programa que borraba por completo los datos, en lugar de bloquearlos.

El ataque se propagó más allá de Ucrania y provocó un caos masivo en los gobiernos y las empresas de todo el mundo, incluso en la atención de la salud en EE. UU.

"Lo que sucedió es que había importantes firmas de EE. UU. que tenían relaciones con terceras y cuartas partes en Ucrania", comentó Riggi. "NotPetya, este virus digital, se propagó como un virus biológico que entonces afectó a una importante compañía farmacéutica de EE. UU.". El virus también infectó a una popular firma de transcripción de historiales médicos.

NotPetya se propagó entonces de esas compañías a los hospitales y a los sistemas de atención de la salud, y afectó a la atención de los pacientes en todo Estados Unidos, aseguró Riggi.

"Nos preocupa que pueda suceder de nuevo una situación como esta", dijo Riggi. "También nos preocupa que un proveedor externo crítico, de quien dependamos para servicios para que suministre atención y operaciones, pueda verse atacado por accidente y se convierta en un daño colateral de un ciberataque ruso, lo que entonces afecta a la atención".

Fortalecer las defensas

Un ataque de este tipo impide que los médicos accedan a los expedientes de salud electrónicos de los pacientes, pero también podría afectar a los sistemas computarizados que gestionan a los laboratorios de patología, los sistemas de imágenes, los gabinetes que suministran fármacos, las bombas de infusiones de medicamentos y otros tipos de tecnología importantes, advirtió Riggi.

También existe la posibilidad de que el conjunto de sanciones económicas que se han impuesto a Rusia pueda provocar un contraataque informático directo contra Estados Unidos, dado que el Kremlin ha acusado e EE. UU. de declarar una "guerra económica" contra Moscú.

Los ataques también podrían provenir de países aliados con Rusia, como Bielorrusia o China.

"No deberíamos cuidarnos solo de los ciberataques de un país determinado", planteó Kim. "Si históricamente han tenido pactos de defensa con otros países, también hay que estar alertas en términos de ciberataques de los países aliados".

"Vale la pena anotar que los ataques de ciberseguridad en otros sectores también podrían tener un impacto en la atención de la salud", añadió Yarborough. "Por ejemplo, un ataque contra los sectores de energía o de transporte podría tener un impacto negativo en la capacidad de las organizaciones de atención de la salud de proveer atención o transportar a los individuos a los centros de atención de la salud".

Ante esta amenaza, los expertos de seguridad han advertido a los sistemas de atención de la salud de EE. UU. que deben estar en una alerta alta.

"Ahora no es el momento para simplemente confiar en la fe y pensar que estaremos bien", enfatizó Kim. "Ahora es el momento para que las organizaciones de atención de la salud y todos los demás implicados dentro de EE. UU. mejoren sus defensas y se aseguren de tener una buena base contra cualquier tipo de actor, ya sea una nación estado, un cibercriminal, [o] jóvenes programadores aficionados. De verdad creo que es el momento de que aumentemos nuestros niveles de defensa".

"Una postura de ciberseguridad fuerte y basada en el riego debe dar por sentado que los sistemas de TI siempre están bajo amenaza de un ciberataque de seguridad", planteó Yarborough. "En el HHS, trabajamos internamente para garantizar que nuestros sistemas y redes estén protegidos de estos ataques, al mismo tiempo que trabajamos con todo el sector de atención de la salud y de salud pública para asegurar que todo el mundo del sector sea consciente de las amenazas emergentes".

Enlaces maliciosos

Los expertos urgen a los sistemas de atención de la salud a hacer inventarios frecuentes de sus datos y a hacer copias de respaldo de manera rutinaria, por si hay un ataque exitoso.

"Observen los activos críticos en sus organizaciones y a qué pacientes prestan servicios, y a partir de esto pueden crear un plan de ciberdefensa para proteger a lo que sea más crítico", recomendó Kim.

Los expertos en seguridad también instan a que se entrene a todos los empleados de atención de la salud para que se consideren como parte del equipo de ciberseguridad, de forma que puedan ser más conscientes de los correos electrónicos de ciberestafas y otros intentos de entrar en los sistemas de sus instituciones.

"Los correos electrónicos de ciberestafas son de hecho la forma más frecuente en que los atacantes entran en nuestros sistemas", apuntó Kim.

Un informe del HIMSS anotó que un 45 por ciento de los incidentes de seguridad significativos en 2021 fueron resultado de un ataque con correos electrónicos de ciberestafas, y que el punto inicial de peligro de su incidente de seguridad más significativo fueron los correos electrónicos de estafas un 71 por ciento de las veces.

"Básicamente, cualquier usuario final podría poner a su organización en jaque al hacer clic en un enlace malicioso de un correo electrónico de estafa", advirtió Riggi.

Los expedientes de salud electrónicos y los dispositivos médicos conectados con internet han ayudado a mejorar en gran medida la atención de los pacientes, dijeron Kim y Riggi. Ahora, las autoridades de salud deben cementar esos avances al proteger a los sistemas computarizados virtuales de los ataques.

"Incluso antes de la pandemia, se ha promovido la dependencia en un mayor uso de la tecnología médica en la atención de la salud para mejorar los resultados de los pacientes y la administración eficiente de la atención del paciente", comentó Riggi. "Los resultados de los pacientes han mejorado de forma significativa, así que todo esto es absolutamente necesario".

"Sin embargo, ha creado un riesgo adicional, dado que a medida que desplegamos dispositivos y tecnologías conectadas en redes y con internet, y aumentamos nuestra dependencia de los proveedores de la nube, esto amplía lo que denominamos la 'superficie de ataque'", añadió Riggi. "En esencia, hay más oportunidades de que los malhechores o los ciberjáqueres extranjeros penetren en nuestras redes".

Más información

La Sociedad de Sistemas de Información y Gestión de la Atención de la Salud (HIMSS) ofrece más información sobre la ciberseguridad en la atención de la salud.

Artículo por HealthDay, traducido por HolaDoctor.com

FUENTES: John Riggi, national adviser, cybersecurity and risk, American Hospital Association; Lee Kim, senior principal, cybersecurity and privacy, Healthcare Information and Management Systems Society; La Monte Yarborough, chief information security officer, U.S. Department of Health and Human Services

Comparte tu opinión