Se supone que la Navidad y las fiestas son una época de paz y tranquilidad. Sin embargo, los hospitales no lo están disfrutando tanto, porque además del aumento de pacientes enfermos o lesionados, los ciberdelincuentes están tratando de aprovechar la situación, sabiendo muy bien que los hospitales sobrecargados no pueden permitirse una interrupción del servicio. Esto aumenta el precio del rescate de un ataque de ransomware exitoso. Además, durante las vacaciones, los hospitales suelen tener poco personal, incluidos los especialistas en TI, lo que hace más probable que las ciberamenazas pasen desapercibidas y aumenta el tiempo de respuesta potencial. Muchos empleados trabajan de forma remota durante las vacaciones, lo que aumenta aún más el riesgo de un ataque de phishing exitoso, que puede ser la etapa inicial de un ataque de ransomware.
Los datos de la empresa de seguridad cibernética Check Point Software Technologies muestran que el año pasado, una organización de atención médica promedio enfrentó 1462 ataques cibernéticos por semana, un aumento del 74 % con respecto a 2021 y el aumento más alto de cualquier industria. El hecho de que el cuidado de la salud sea el tercer sector atacado con más frecuencia dice mucho de lo atractivo que es como objetivo.
Además, a medida que finaliza el año, también estamos viendo un aumento alarmante en los ataques de ransomware a la atención médica. Mientras que durante la temporada navideña y septiembre, aproximadamente una de cada 50 organizaciones de atención médica se vio afectada por ransomware, a partir de octubre vemos un aumento gradual de los ataques, con un importante punto de inflexión a principios de diciembre, cuando la cantidad de ataques de ransomware se disparó y uno de cada 13 empresas de salud fueron atacadas en la segunda quincena de diciembre.
Del mismo modo, desde entonces también hemos visto un aumento en los ataques de ransomware, cuyo objetivo es el robo de información. Además, estos ataques han estado por encima del promedio en la industria de la salud desde finales de octubre, y es probable que las dos tendencias estén relacionadas.
La cantidad de vulnerabilidades potenciales también está aumentando con el aumento de los dispositivos IoT en el cuidado de la salud. Check Point ha demostrado anteriormente que un ultrasonido, por ejemplo, podría ser atacado y bloqueado, o que una organización podría ser atacada usando bombillas inteligentes.
Algunas amenazas pueden acechar en los sistemas comprometidos durante semanas o incluso meses, robando datos sin ser detectadas y esperando el momento adecuado para atacar. Por lo tanto, no nos enteramos de muchos ataques hasta mucho después de que el ataque haya comenzado. El hecho de que su pantalla no se ilumine con demandas de rescate y sus computadoras no estén bloqueadas no significa que no haya enfrentado un ataque durante mucho tiempo. Por eso aumenta la urgencia de esta advertencia.
La naturaleza temeraria y sistemática del delito cibernético quedó demostrada en la pandemia del coronavirus, donde los atacantes aprovecharon la situación caótica para atacar repetidamente las redes de los hospitales en un momento en que los centros de salud tenían menos capacidad de respuesta.
"Los ataques cibernéticos a hospitales, redes eléctricas, tuberías, plantas de tratamiento de agua, sistemas de transporte y otras instalaciones de infraestructura crítica pueden amenazar directamente la vida humana y deben tratarse en consecuencia. Si estamos claros que los ataques terroristas a la infraestructura crítica nos produce temor, debemos darnos cuenta de que los ciberataques las amenazas pueden tener un impacto incluso más devastador que las bombas", dice Miloslav Lujka, Country Manager República Checa, Eslovaquia y Hungría de la empresa de ciberseguridad Check Point Software Technologies.
Aunque es difícil determinar exactamente qué impacto tienen los ataques cibernéticos en la salud de los pacientes, ya que muchos factores influyen en esto y las complicaciones o incluso la muerte pueden seguir semanas o meses después de un ataque, queda claro a partir de los ejemplos a continuación que tenemos un gran problema por delante de nosotros, que necesita ser abordado.
Desafortunadamente, los ataques de ransomware también tocan a los hospitales checos, como lo demostraron, por ejemplo, los ataques a hospitales en Benesov y Brno.
En noviembre, el FBI advirtió sobre el ransomware Hive, que ataca activamente los sistemas de salud. Descubierto por primera vez en junio de 2021, Hive encripta archivos e interrumpe los procesos de copia de seguridad en los ataques. Además, este grupo amenaza con publicar información robada en el sitio web HiveLeaks a menos que se pague un rescate. Los atacantes también han llamado por teléfono a algunas de las víctimas para intensificar la amenaza. Desafortunadamente, esta es una táctica cada vez más común en la que, además de cifrar datos, se roba información confidencial que puede publicarse o usarse para ataques posteriores.

Hive se utilizó, por ejemplo, en el ataque al Hospital Lake Charles Memorial en Louisiana en octubre. Si bien se impidió que los sistemas se encriptaran, los piratas informáticos pudieron acceder a la información personal de casi 270,000 pacientes. El FBI y otras agencias federales señalan que los ciberdelincuentes que utilizan el ransomware Hive han extorsionado con más de 100 millones de dólares a más de 1.300 empresas en todo el mundo en tan solo un año y medio, y en muchos casos se trataba de organizaciones sanitarias.
El Departamento de Salud y Servicios Humanos de EE. UU. también advirtió sobre los ataques del ransomware Royal, que dejó fuera de servicio el circuito de carreras más popular de Inglaterra, Silverstone en noviembre, y es una amenaza directa para las organizaciones de atención médica.
Recientemente, un hospital francés en el suburbio de Versalles tuvo que cancelar operaciones y transferir pacientes después de un ataque de ransomware. El Hospital André-Mignot en Chesnay-Rocquencourt fue objetivo de un ciberataque que deshabilitó las computadoras y, como resultado, seis pacientes tuvieron que ser trasladados de la unidad de cuidados intensivos y la sala neonatal a hospitales cercanos. También requirió el refuerzo del personal ya que las funciones de varias máquinas críticas no pudieron restaurarse por completo.

In September, another French hospital, the Centre Hospitalier Sud Francilien, faced a large-scale attack by the LockBit 3.0 group. It demanded a ransom of $10 million. A few months earlier, hospital group GHT Cœur Grand Est said it was forced to cut the internet connections of Vitry-le-François and Saint-Dizier hospitals after receiving a ransom demand of $1.3 million. In both cases, the hackers made good on their threats and posted sensitive patient information online.

The healthcare industry is also being targeted by the Daixin Team, a hacker group that uses ransomware created using the Babuk Locker ransomware source code to launch attacks. Daixin Team encrypts medical records, diagnostic data and access to intranet services, and also steals patients' personal data and health information. It threatens to disclose this data when a ransom demand is made.
En septiembre, otro hospital francés, el Centre Hospitalier Sud Francilien, se enfrentó a un ataque a gran escala por parte del grupo LockBit 3.0., que exigió un rescate de 10 millones de dólares. Unos meses antes, el grupo hospitalario GHT Cœur Grand Est dijo que se vio obligado a cortar las conexiones a Internet de los hospitales de Vitry-le-François y Saint-Dizier después de recibir una demanda de rescate de 1,3 millones de dólares. En ambos casos, los piratas informáticos cumplieron sus amenazas y publicaron información confidencial de pacientes en línea.

La industria de la salud también está siendo atacada por Daixin Team, un grupo de piratas informáticos que utiliza ransomware creado con el código fuente del ransomware Babuk Locker para lanzar ataques. Daixin Team cifra los registros médicos, los datos de diagnóstico y el acceso a los servicios de intranet, y también roba los datos personales y la información de salud de los pacientes. Amenaza con divulgar estos datos cuando se solicita un rescate.
SickKids, uno de los hospitales pediátricos más grandes de Canadá, dijo que llevará varias semanas restaurar completamente sus sistemas informáticos después de los ataques de ransomware, lo que afectará el tratamiento de algunos pacientes.

A fines de octubre, un ataque de ransomware detuvo las operaciones en un hospital en Osaka, que tuvo que suspender los servicios médicos normales ya que su sistema para manejar registros médicos electrónicos estaba desactivado. De igual manera, a fines de noviembre, las redes informáticas de tres hospitales en Brooklyn, Nueva York, fueron atacadas y tuvieron que pasar a trabajar con registros médicos de pacientes en papel luego de un ciberataque.

El gigante estadounidense de la salud CommonSpirit Health, que administra 700 sitios y 142 hospitales en 21 estados, informó a principios de diciembre que se filtraron datos de más de 620,000 pacientes, incluidos registros médicos electrónicos, en septiembre y octubre. A su vez, un ataque en noviembre contra otros tres hospitales de Nueva York obligó a los médicos a cambiar a las historias clínicas en papel, lo que retrasó la atención.
El notorio grupo ruso de ciberdelincuencia Conti también es responsable de una serie de ataques exorbitantes a hospitales.
Y hay muchos más ataques que aún no conocemos. Por lo tanto, estos no son solo algunos ataques aleatorios, sino un esfuerzo organizado de varias bandas profesionales para atacar directamente al sector de la salud, y el desarrollo de nuevas amenazas corresponde a esto.
Además, pagar el rescate puede alentar a los ciberdelincuentes a lanzar más ataques. Pagar el rescate tampoco garantiza que los archivos se restaurarán y puede llevar semanas o incluso meses volver a la normalidad.
Algunos gobiernos también están tratando de responder a la crítica situación. Por ejemplo, el gobierno australiano está considerando una nueva legislación que imposibilitaría el pago de rescates, lo que podría cambiar la estrategia cibernética de muchas organizaciones.
Entonces, ¿qué pueden hacer las organizaciones de atención médica para protegerse de las ciberamenazas? Es importante tener en cuenta que un ataque de ransomware generalmente comienza con otra amenaza, y el cifrado de archivos y la solicitud de rescate es solo una de las siguientes etapas. Por ello, es fundamental protegerse de todo tipo de amenazas y saber responder.
Consejos de seguridad para organizaciones sanitarias:
1. Cuidado con los troyanos: los ataques de ransomware generalmente no comienzan con ransomware. Ryuk y otros tipos de ransomware usan troyanos en la fase inicial. La infección troyana ocurre días o semanas antes de un ataque de ransomware, por lo que los equipos de seguridad deben buscar infecciones Trickbot, Emotet, Dridex o Cobalt Strike en sus redes y eliminarlas antes de que puedan preparar el escenario para el ransomware.
2. Manténgase alerta los fines de semana y días festivos: la mayoría de los ataques de ransomware tienen lugar los fines de semana y días festivos. Los piratas informáticos intentan apuntar a momentos en los que es más probable que los equipos de TI y seguridad estén fuera de horario y la respuesta a la amenaza sea más lenta.
3. Use anti-ransomware: los ataques de ransomware son sofisticados, pero una solución anti-ransomware reparará cualquier daño y devolverá todo a la normalidad en minutos. La protección antiransomware vigila cualquier actividad inusual, como abrir y cifrar grandes cantidades de archivos. Si el anti-ransomware detecta algún comportamiento sospechoso, puede reaccionar de inmediato y evitar daños masivos.
4. La copia de seguridad y el archivo de datos son esenciales: el objetivo del ransomware es obligar a la víctima a pagar un rescate para recuperar el acceso a los datos cifrados. Sin embargo, esto solo es efectivo si el objetivo realmente pierde el acceso a sus datos. Si algo sale mal, sus datos deberían poder recuperarse fácil y rápidamente. Por lo tanto, es imperativo realizar copias de seguridad de manera constante, incluso automáticamente en los dispositivos de los empleados, y no depender de que ellos mismos recuerden activar la copia de seguridad.
5. Limite el acceso solo a la información y el segmento necesarios: si desea minimizar el impacto de un ataque exitoso, es importante asegurarse de que los usuarios solo tengan acceso a la información y los recursos que necesitan absolutamente para hacer su trabajo. La segmentación de su red minimiza el riesgo de que el ransomware se propague sin control por toda su organización. Lidiar con las consecuencias de un ataque de ransomware en un solo sistema puede ser difícil, pero reparar el daño después de un ataque en toda la red es mucho más desafiante.
6. La educación es una parte esencial de la protección: los empleados deben poder reconocer amenazas potenciales. De hecho, muchos ataques cibernéticos comienzan con phishing dirigido, que, si bien no contiene malware, utiliza la ingeniería social para atraer a los usuarios a hacer clic en un enlace malicioso o proporcionar información confidencial. Por lo tanto, la educación del usuario es una de las partes más importantes de la protección.
7. Instale regularmente actualizaciones y parches: WannaCry afectó duramente a organizaciones de todo el mundo en mayo de 2017, infectando más de 200 000 computadoras en tres días. Sin embargo, un mes antes del ataque había disponible un parche para la vulnerabilidad EternalBlue explotada. Las actualizaciones y los parches se instalan de forma inmediata y automática. Parchear y actualizar versiones antiguas de software y sistemas. Sin embargo, en muchos casos esto no es posible en los hospitales por diversas razones. Por lo tanto, recomendamos usar un Sistema de prevención de intrusiones (IPS) con capacidades de parcheo virtual para evitar intentos de explotar las debilidades en sistemas o aplicaciones vulnerables. Un IPS actualizado ayuda a las organizaciones a mantenerse seguras.
8. Asegure todo y confórmese con lo mejor: no subestime nada, las computadoras, servidores, dispositivos móviles, así como bombillas inteligentes o cualquier otro dispositivo IoT pueden ser un punto de entrada y una puerta de entrada a su organización para los piratas informáticos. Por lo tanto, utilice siempre las mejores soluciones de seguridad y, si es necesario, utilice los servicios de equipos externos especializados en la captura de amenazas.