Skip to content

Ciberataques a Hospitales y Clínicas Seguridad de los pacientes en riesgo

Los ciberataques a hospitales y clínicas están entre los más ‘temidos’ por los expertos en ciberseguridad, debido a que pueden poner en riesgo a los pacientes. La ciberprotección de las organizaciones sanitarias es un desafío para el sector. Establecer protocolos es fundamental. Cómo lograrlo.

La EPS Famisanar, la cadena de medicamentos Audifarma, el propio Ministerio de Salud y la Superintendencia de Salud fueron víctimas en 2023 del virus ransomware que ‘secuestró’ sus sistemas y de sus clientes o usuarios. Ciberataques sin precedentes en Colombia de la ‘infraestructura crítica’, un concepto del que participa el sistema de salud colombiano y la cual es un objetivo potencial para amenazas y ataques, ya sea por parte de actores maliciosos, desastres naturales u otros eventos que interrumpen su funcionamiento.

Proteger y mantener estos sistemas es una tarea de gran esfuerzo para garantizar la seguridad y la continuidad de las operaciones básicas de una sociedad. En muchos países, se implementan políticas y medidas de seguridad específicas para proteger la infraestructura crítica y minimizar los riesgos asociados.

De acuerdo con el Centro Cibernético de la Policía Nacional, de enero a octubre del 2022, en Colombia la cifra de este tipo de ataques se multiplicó a 54.121 denuncias. Con base en informes de la firma Lumu Technologies, se advierte que presentó un incremento del 133 por ciento en el número de instituciones afectadas por ransomware (secuestro de datos) respecto al 2022. Según la empresa de seguridad Fortinet, Colombia reportó más de 5 mil millones de ataques cibernéticos en la primera mitad del 2023, convirtiéndose en el cuarto país de América Latina y el Caribe que más ha estado expuesto a esa amenaza.

Fueron más de 50 las empresas entre públicas y privadas las que experimentaron esta situación en los últimos dos años, algunas de ellas directamente relacionadas con el sector salud, sin duda uno de los más afectados, porque los datos que tienen estas plataformas son más sensibles tal y como lo manifiesta Check Point Software Technologies Ltda., dado que los ataques a una infraestructura crítica tienen un mayor efecto y atienden, por lo general, a un enfoque intencional que busca el pago por la ‘liberación de datos’.

Colombia ha sido víctima de varios de estos ataques a los sectores salud y energía, los cuales han ocasionado pérdidas económicas y problemas con los servicios como la entrega de medicamentos, agendamiento de citas y cirugía o, como en el caso del MIPRES del Ministerio de Salud, incertidumbre en el reporte de prescripciones, suministro, verificación, control, pago y análisis de tecnologías en salud. Sin contar la interrupción o parálisis operativa, la pérdida de productividad e ingresos, daños a la marca e incumplimientos contractuales y normativos.

 

Los grandes cuestionamientos al respecto se relacionan con si el país está preparado para contrarrestar los ataques cibernéticos a entidades de salud como hospitales y clínicas, las implicaciones que tienen para el sector y cómo blindarlo ante ellos.

“El secuestro de datos afecta la seguridad nacional y en el caso de las instituciones prestadoras de salud, tiene un grave impacto la salud pública porque cuando hay un control por parte de delincuentes, de información que es de tanta sensibilidad, confidencial, sobre la cual está en juego la vida, la salud, el bienestar de personas, estamos hablando de un ataque que pone en peligro la infraestructura crítica o esos sistemas y activos que son esenciales para el funcionamiento de la sociedad”, explica Dionne Cruz, expresidenta e integrante de la Junta Directiva de la Asociación Colombiana de Salud Pública.

En el país aún es incipiente una política de ciberseguridad que brinde una respuesta institucional sólida frente a ataques de esta índole. Un primer acercamiento se hizo con la inclusión en el Plan Nacional de Desarrollo, del presidente Gustavo Petro, de la creación de la Agencia de Seguridad Digital y Asuntos Espaciales, iniciativa que en el Congreso de la República no prosperó. Los esfuerzos son insuficientes a pesar de que la Fiscalía General de la Nación cuenta con una división contra delitos informáticos y un grupo de policía judicial para atenderlos.

PREVENIR EL CIBERATAQUE EN EL HOSPITAL

Evidentemente hay que fortalecer la capacidad de respuesta rápida y de prevención de lo que supone resguardar a las entidades hospitalarias y a la ciudadanía, frente a las implicaciones que puede tener un ataque cibernético en este tipo de instituciones; para ello hay mucho por hacer en la materia de ciberseguridad como proteger los equipos, las redes, las aplicaciones de software, los sistemas críticos y los datos esenciales para la toma de decisiones.

Tanto las organizaciones públicas y como privadas tienen la responsabilidad de salvaguardar esos datos para mantener la confianza, la confidencialidad y de evitar interrupciones en las operaciones en el contexto del talento humano, los procesos, las tecnologías y, por supuesto, los usuarios porque está en riesgo su vida y sus derechos como pacientes.

“Para blindar el sistema, lo primero es tener una respuesta institucional que ayude en la prevención, el monitoreo y la atención de posibles ataques de ciberseguridad a nuestra infraestructura crítica en salud y se puede pensar en replantear la creación de la Agencia de Seguridad Digital y Asuntos Espaciales que propuso el consejero presidencial para la transformación digital, Saúl Catán. También es importante tener un marco normativo, de política pública que permita cuidar esa infraestructura; hacernos conscientes de los ataques y toda la tipología que existe: el malware, el ransomware, los ataques de intermediario, el phishing, la pesca de gente que cae en estas trampas y que a través de un simple clic de un correo electrónico o enlace termina dando acceso a que personas malintencionadas ingresen y descarguen datos sensibles de nuestras organizaciones- y también hay amenazas internas, que aunque son mínimas, ocurren en las instituciones”, asevera la doctora Cruz.

En el caso de los profesionales independientes o IPS es muy importante el uso de un software para el manejo de historia clínica que cuente con la certificación de que el mecanismo utilizado cumple con características de autenticidad, fiabilidad, integridad y disponibilidad del documento, de acuerdo con lo establecido en la normatividad vigente expedida por el Archivo General de la Nación, la Superintendencia de Industria y Comercio y el Ministerio de Tecnologías de información y Comunicaciones. Este certificado debe estar firmado por un ingeniero de sistemas con tarjeta profesional vigente y debe ser suministrado por el proveedor del software.

La Ley 2015 del 2020, donde fue creada la historia clínica electrónica interoperable en el capítulo IV artículo 13 establece: “Seguridad de la información y seguridad digital. Los actores que traten información en el marco del presente título deberán establecer un plan de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, para lo cual establecerán una estrategia a través de la cual deberán realizar periódicamente una evaluación del riesgo de seguridad digital, que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo”.

 

ACCIONES CONCRETAS

Los sistemas en salud en Colombia continúan siendo frágiles y vulnerables, eso nos habla de la necesidad de fortalecer esa respuesta. Algunas recomendaciones para garantizar la ciberprotección de las organizaciones sanitarias y así evitar causar daños a la seguridad de los pacientes son:

  1. Tener como alternativa la operación manual que, aunque puede acarrear demoras y el retorno a procesos antiguos, son soluciones de emergencia que no hay que descartar en la contingencia; esto ocasiona también el diligenciamiento de formatos físicos, que no pasarán de moda para garantizar la prescripción y el suministro, mientras la situación se controla.
  2. Educar a la comunidad médica y a los usuarios en salud sobre ciberseguridad en la infraestructura crítica; la seguridad de la red; la nube; el internet de las cosas; la seguridad de los datos, las aplicaciones, los puntos de conexión; cómo se planifican este tipo de ataques y cómo se recupera la información: backup, archivos asegurados con temas sensibles.
  3. Desarrollar estrategias de ciberseguridad en las organizaciones hospitalarias, esto significa trabajar con las personas, los procesos y las tecnologías, con tecnologías que trabajan confianza cero, análisis de comportamiento, sistema de detección de intrusiones y cifrado de nube.
  4. Tener una política pública sólida nacional de ciberseguridad en entidades que están ubicadas en la infraestructura crítica-salud, gobierno y administración pública.
  5. Coordinar con el personal sanitario, incluso, intervenciones o protocolos de uso sobre máquinas de soporte vital en una UCI. “Establecer fuertes protocolos de ciberseguridad en los hospitales, es esencial todo momento”, afirma José Rosell, socio-director de S2 Grupo, multinacional española S2 Grupo, especializada en ciberseguridad y gestión de sistemas críticos.
  6. Saber que la ciberseguridad es un proceso continuo, un conjunto de proyectos que deben formar parte de un Plan Maestro de Seguridad y que deberán ejecutarse a lo largo del tiempo.
  7. Contar con la figura de una oficina técnica de seguridad externa, para que priorice las iniciativas en función de los riesgos de la organización.
  8. Crear o contratar el servicio de un centro de operaciones de seguridad especializado en salud, ya que desafortunadamente los ciberataques actuales no se centran de forma exclusiva en los sistemas de información. “Afectan también, al equipamiento médico propio de una infraestructura sanitaria. Esto obliga a desplegar sistemas de cibervigilancia específicos para el sector”, añade Rosell.
  9. Anticipar, es definitivo. Estar preparados para sufrir un ciberincidente adoptando las medidas de prevención y de continuidad de negocio adecuadas.
  10. Garantizar que los gobiernos implanten soluciones y planes que disminuyan los riesgos de sus infraestructuras críticas.
  11. Identificar la naturaleza del ataque y dar acompañamiento a la entidad para normalizar las operaciones.
  12. Diseñar planes de respuesta ante incidentes, que sean claros y objetivos.
  13. Ejecutar simulacros de crisis, para que las personas en la organización conozcan sus roles y las expectativas.
  14. Elaborar planes de capacitación dirigidos a los empleados en materia de seguridad de la información.
  15. Corroborar que todas las computadoras, los servidores, los dispositivos móviles y demás estén protegidos con una solución antimalware que esté actualizada y en pleno funcionamiento.

Para los especialistas en ciberseguridad, los ataques que ha sufrido la infraestructura crítica en Colombia se hubieran podido mitigar exigiendo a todas las entidades uno requisitos mínimos técnicos y tecnológicos, capacitación a sus funcionarios y generando un ecosistema capaz de proteger los datos de manera eficiente.

Una experiencia en Chile, por parte del Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior, generó una ‘Alerta de Seguridad de la Información’ advirtiendo sobre el incidente y recomendando a las empresas que tienen conexiones con IFX que, de todas formas, pongan en marcha las siguientes medidas de forma preventiva:

  • Forzar un escaneo completo con su antivirus.
  • Revisar los blogs del sistema operativo.
  • Verificar que no exista algún software sospechoso en sus sistemas.
  • Chequear las cuentas existentes en su servidor.
  • Supervisar el rendimiento de procesamiento y discos duros.
  • Revisar si existe alguna alteración en la información o fuga de datos de la empresa y sus bases de datos.
  • Auditar su tráfico de red.
  • Conservar un registro actualizado de sus sistemas para garantizar un monitoreo efectivo.

RECUADRO

¿QUÉ ES LA INFRAESTRUCTURA CRÍTICA?

Observaciones del portal web Muchohacker dejan ver que la infraestructura crítica se refiere a sistemas y activos esenciales para el funcionamiento de una sociedad y economía modernas. Estos desempeñan un papel fundamental en la seguridad nacional, la salud pública, la seguridad y el bienestar de la población.

Salud: hospitales, clínicas y laboratorios médicos forman parte de la infraestructura crítica, ya que son vitales para el cuidado de la salud de la población.

Gobierno y administración pública: los sistemas gubernamentales y las infraestructuras que los respaldan son cruciales para la gobernabilidad y la prestación de servicios públicos.

Tecnología de la información y comunicaciones: la infraestructura de esta tecnología, como los centros de datos y las redes de computadoras, es primordial para muchas operaciones comerciales y gubernamentales.

Comparte este artículo

Te puede interesar

Suscríbete a la Revista Coomtacto