Los ciberdelincuentes atacan la sanidad (pero podemos contraatacar)

Una versión de este artículo se publicó en Revista de Ciberdefensa. Se ha actualizado para su sindicación aquí.

Los ciberataques se han convertido en una forma de vida estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o brecha que afecta a todo, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros son atacados por delincuentes casi a diario y los atacantes exigen rescates millonarios para restablecer los servicios críticos comprometidos.

Pero un lugar en el que, con suerte, podemos seguir sintiéndonos seguros es la consulta del médico o incluso el hospital. Las personas son más vulnerables cuando acuden a un profesional sanitario. La decencia humana casi exigiría que se permitiera a los médicos locales hacer su noble trabajo en paz. Desgraciadamente, eso no ocurre. Parece que hay poco honor -o quizás pura desesperación- entre los ciberladrones de hoy en día. De hecho, la sanidad podría ser el próximo "gran" campo de batalla de la ciberseguridad, ya que los delincuentes atacan las mismas máquinas que diagnostican los problemas médicos, proporcionan tratamientos y mantienen la vida. Con una crisis sanitaria mundial sostenida que se despliega ante nuestros ojos, esto es algo que es fundamental abordar desde múltiples puntos.

Las amenazas son más personales que nunca.

Los ataques contra el sector sanitario no son nuevos. Los ciberdelincuentes ya conocen el valor que la información de los pacientes, los datos personales y los registros financieros tienen en el mundo del hampa y en la web oscura. Esa información puede utilizarse para robar dinero directamente a los pacientes, o como punto de partida para ataques secundarios como el phishing y otras estafas. No es de extrañar, pues, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la sanidad. A Anthem Healthcare le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. CareFirst sufrió un total de 1,1 millones de registros comprometidos, y la lista es interminable.

Por el momento, los ataques realizados directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no informan de las intrusiones o los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque delante de ellos. Los investigadores de seguridad han demostrado de forma concluyente la capacidad de comprometer los dispositivos médicos de forma aterradora, como el uso de malware para añadir tumores falsos a las tomografías y a los resultados de las resonancias magnéticas. No es muy difícil pensar que los atacantes pueden estar haciendo lo mismo o cosas similares a los dispositivos médicos en el mundo real.

La sanidad también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las Cosas (IoT), diminutos sensores que están conectados a Internet y que producen volúmenes increíbles de información. En su mayor parte, la seguridad de la información producida por esos sensores, los canales que utilizan para comunicarse, e incluso los propios sensores, ha sido poco más que una idea tardía. El número de vulnerabilidades potenciales que un atacante podría explotar escondidas dentro de esas redes dominadas por el IoT es probablemente casi ilimitado.

La IO en la sanidad plantea graves riesgos.

Los servicios críticos para la atención al paciente -que en algunos casos ni siquiera se imaginaban hace 20 años- son caldo de cultivo para las vulnerabilidades basadas en la IO y otras más tradicionales. Las historias clínicas electrónicas, la telemedicina y la sanidad móvil parecían estar esperando el impulso de la información que podría proporcionar el IoT. No es de extrañar que la apuesta por la IO en el sector sanitario sea asombrosa. MarketResearch.com predice que para el año que viene el mercado de la IO en el sector sanitario alcanzará los 117.000 millones de dólares, y seguirá expandiéndose a un ritmo del 15% cada año a partir de entonces.

En ese entorno, los atacantes hábiles pueden encontrar muchas vulnerabilidades que pueden utilizar para explotar los dispositivos médicos. Los sensores IoT integrados en los dispositivos médicos suelen comunicarse y producir sus datos de una de las dos maneras siguientes. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como informática de niebla, en la que los propios sensores forman una especie de mini-red, decidiendo colectivamente qué datos compartir con un repositorio o plataforma central. Esos datos pueden ser procesados posteriormente o el personal sanitario puede acceder directamente a ellos.

Para complicar aún más los asuntos de ciberseguridad en el ámbito de la sanidad, el sector nunca ha adoptado ni acordado normas, métodos o protecciones para el manejo de datos. Históricamente, el sector sanitario ha sido atendido por fabricantes que ofrecían sus propias tecnologías para los dispositivos médicos. En la actualidad, esto incluye los sensores IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recogidos. Esto hace que la mayoría de las redes de los hospitales sean el sueño de los hackers, o al menos un buen campo de pruebas donde pueden explotar todo, desde las desconfiguraciones de seguridad hasta la insuficiente protección de la capa de transporte. Pueden intentar cualquier cosa, desde la falsificación de solicitudes entre sitios hasta los clásicos ataques de inyección XML.

El contragolpe que necesitamos está justo delante de nosotros.

A pesar de las consecuencias potencialmente catastróficas de la explotación de estas vulnerabilidades, hay algo por lo que seguir siendo optimistas: estos fallos de seguridad no son nuevas y poderosas puertas traseras abiertas por mentes criminales. Son tan comunes que es frustrante seguir viéndolos, una y otra vez. Parte de la razón por la que asoman su fea cabeza es por el uso de sistemas heredados que han quedado sin parchear a pesar de que las correcciones están disponibles, pero la otra está relacionada, una vez más, con el factor humano. Los desarrolladores están escribiendo código a un ritmo vertiginoso y se concentran en un producto final funcional y elegante... no en las mejores prácticas de seguridad.

Sencillamente, se construye demasiado software para que los especialistas en seguridad de las aplicaciones puedan seguir el ritmo, y no podemos esperar que salven el día constantemente con estas vulnerabilidades recurrentes. Es más barato, más eficiente y claramente mucho más seguro si estas vulnerabilidades no se introducen en primer lugar, y eso significa que los equipos de seguridad y los desarrolladores deben hacer un esfuerzo adicional para crear una cultura de seguridad robusta de principio a fin.

¿Cómo es exactamente una buena cultura de seguridad? He aquí algunos elementos clave:

• Los desarrolladores están equipados con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entienden por qué es tan importante hacerlo)
• La formación es exhaustiva, fácil de digerir y se adapta a los puntos fuertes de los desarrolladores
• Los resultados de la formación se miden adecuadamente, con métricas e informes (no es sólo un ejercicio de marcar la casilla y seguir adelante)
• AppSec y los desarrolladores comienzan a hablar el mismo idioma: después de todo, en una cultura de seguridad positiva, están trabajando para lograr objetivos similares.

La posibilidad de que se produzca un desastre sigue siendo enorme, y va mucho más allá del simple robo del historial médico de un paciente. La inyección de tumores falsos en un escáner podría devastar a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o alterar los planes de tratamiento podría matarlos. Pero, sólo hace falta un ciberdelincuente dispuesto a cruzar esa línea para obtener beneficios, y se puede garantizar que ocurrirá. Tal vez la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O quizás un atacante amenace con alterar los medicamentos a menos que le paguen, pidiendo literalmente un rescate por las vidas.

Está claro que no podemos seguir con el enfoque de "seguir como siempre" cuando se trata de la ciberseguridad en la sanidad. No podemos confiar en uno o dos especialistas de las organizaciones sanitarias para solucionar todos los problemas. En su lugar, necesitamos desarrolladores conscientes de la seguridad que trabajen en aplicaciones y dispositivos sanitarios para reconocer los posibles problemas y solucionarlos antes de que se desplieguen en las instalaciones. E incluso el personal sanitario podría recibir una formación básica en ciberseguridad.

Es cierto que nada es más importante que la salud. Dentro de la industria de la salud, mantener un buen estado de ciberseguridad para el futuro dependerá de facilitar una mejor concienciación general sobre la seguridad hoy en día. Sin un tratamiento serio, este es un problema que sólo va a empeorar.