El número creciente de ataques de ransomware a organizaciones de atención médica se ha vuelto imposible de ignorar. De hecho, los ataques de ransomware dirigidos a proveedores de atención médica en todo el mundo casi se duplicaron el año pasado, según el Centro de Integración de Inteligencia Cibernética (CTIIC). Las consecuencias para los pacientes han sido devastadoras, desde interrupciones en la atención crítica de los pacientes y cierres de salas de emergencia, hasta pacientes incapaces de acceder a recetas y médicos incapaces de realizar procedimientos, como hemos visto con los ataques de alto perfil a Change Healthcare, Ascension y muchos otros.
Hay múltiples tendencias en juego que alimentan este aumento. Desde un punto de vista económico, el acceso a criptomonedas permite a los hackers recibir fondos, mientras que Ransomware-as-a-Service (RaaS) y la automatización les permiten atacar a organizaciones más grandes de manera más agresiva y eficiente que nunca. Y quizás lo más notable, mientras históricamente se consideraba que la atención médica estaba fuera de límites para algunos grupos de ransomware, claramente este ya no es el caso. Esto se ve agravado por el hecho de que las organizaciones de atención médica en particular luchan por recuperarse de los ataques de ransomware debido a los sistemas informáticos heredados, los recursos limitados y los desafíos de habilidades.
Dadas estas circunstancias alarmantes, es importante hablar sobre uno de los sistemas de TI más atacados en los ataques de ransomware: Active Directory, utilizado por el 90% de las grandes organizaciones, incluidas casi todas las organizaciones de atención médica. Active Directory (AD) es un sistema de identidad central desarrollado por Microsoft que sirve como un servicio central de autenticación y autorización para los recursos y operaciones de una organización. En otras palabras, son ‘las llaves del reino’, la puerta de entrada a la totalidad de los sistemas de una organización de atención médica.
El ransomware se aprovecha de las brechas de identidad de la atención médica
Las organizaciones de atención médica poseen vastas cantidades de información valiosa de identificación personal (PII) y datos de salud personal (PHI). Esto crea un entorno de AD rico en objetivos, ya que AD ofrece un amplio nivel de acceso a información sensible del paciente. Agravando el problema está el amplio cambio al trabajo remoto y la mayor dependencia de recursos en la nube, que han expandido aún más la superficie de ataque de AD. A esto se suma la constante movilidad de médicos, enfermeras y personal de apoyo dentro de un edificio hospitalario en un momento dado, asociada con inicio de sesión y acceso en múltiples salas, sistemas y máquinas, lo que crea un entorno de identidad altamente complicado. Sin mencionar que por cuestiones de velocidad y eficiencia, muchas organizaciones de atención médica habilitan el inicio de sesión automático en aplicaciones principales, lo que deja los sistemas abiertos a la explotación.
Mientras tanto, muchas organizaciones de atención médica están subfinanciadas y tienen poca personal desde el punto de vista de la seguridad informática e identidad. Esto es particularmente cierto en instalaciones más pequeñas y hospitales rurales, donde es probable que una persona de TI use muchas gorras. Esto hace que el proceso complicado y urgente de recuperación de ransomware sea particularmente desafiante, ya que las limitaciones de recursos y habilidades dificultan que los hospitales implementen y mantengan procesos integrales de recuperación.
Se han establecido múltiples iniciativas para apoyar a los hospitales durante esta crisis, incluido el Programa HHS UPGRADE, el Programa de Ciberseguridad de Microsoft para Hospitales Rurales y la iniciativa de la Casa Blanca para implementar estándares de ciberseguridad para hospitales. Sin embargo, el plazo para que estas iniciativas produzcan resultados tangibles no está claro, y las organizaciones necesitan proteger a sus pacientes de estos ataques en aumento mientras tanto.
Cuando los ciberdelincuentes acceden a Active Directory
Cuando Active Directory se ve comprometido, paraliza toda la organización de atención médica. El ataque generalmente se desarrolla en cuatro etapas:
Acceso inicial: los hackers se infiltran en las redes a través de phishing, explotando vulnerabilidades, mala configuración o usando credenciales robadas de la web oscura.
Movimiento lateral: los atacantes usan AD para autenticar en sistemas y servidores, comprometiendo más cuentas y propagándose por toda la red.
Escalada de privilegios: los ciberdelincuentes explotan las vulnerabilidades de AD para obtener derechos de administrador, deshabilitando los controles de seguridad y cubriendo sus huellas.
Extorsión: Los datos sensibles son robados y/o los sistemas son encriptados para derribar la organización y exigir un rescate. Esto incluye datos críticos de pacientes encriptados y registros médicos, herramientas médicas esenciales inaccesibles, sistemas de respaldo comprometidos y Active Directory mismo siendo derribado, dejando a los empleados y profesionales de la salud bloqueados fuera de los sistemas.
Esta toma de control integral maximiza el impacto del ataque, presionando a las víctimas para que paguen las demandas de rescate. Los proveedores luego son incapaces de acceder a información vital y/o proporcionar atención necesaria a los pacientes, convirtiendo una amenaza cibernética en una crisis que pone en peligro la vida.
La trampa del rescate: Por qué ceder no compensa
El daño generalizado del ransomware impacta significativamente la capacidad de las organizaciones de atención médica para responder de manera efectiva a los incidentes cibernéticos. También es por eso que las organizaciones son más propensas a considerar el pago de rescates cuando son atacadas, ya que pueden ver esto como una solución más rápida y factible en comparación con invertir en procesos de recuperación con recursos internos limitados. Sin embargo, las autoridades federales y los expertos en ciberseguridad desaconsejan pagar el rescate, ya que puede animar a los hackers a aumentar el rescate y explotar los datos a través de tácticas de doble o triple extorsión.
Las compañías de seguros también están escrutinando cada vez más las reclamaciones de ransomware y negando la cobertura en casos en los que las organizaciones optan por pagar el rescate. Este cambio de política se basa en la premisa de que implementar programas robustos de identificación y mitigación de amenazas ahora se considera una práctica fundamental en ciberseguridad. Los aseguradores argumentan que pagar rescates demuestra una falta de medidas de seguridad adecuadas, que deberían estar en su lugar para prevenir tales ataques en primer lugar.
Cómo asegurar el Active Directory de la atención médica: Un enfoque de tres puntas
A continuación, se presentan estrategias que las organizaciones de atención médica pueden implementar ahora para fortalecer Active Directory y mejorar su postura de ciberseguridad:
1. Establecer un Plan de Recuperación de Desastres que Tenga en Cuenta a Active Directory
Las organizaciones deben priorizar la creación de un plan integral de recuperación de desastres con un enfoque específico en Active Directory (AD). Esto incluye:
Mantener un entorno de reserva limpio para garantizar una rápida recuperación en caso de una violación.
Aplicar reglas que detecten y reviertan automáticamente cambios peligrosos, por ejemplo, deshacer automáticamente e inmediatamente cualquier adición a un grupo administrativo fuera de un proceso seguro aprobado.
Probar el plan de respuesta a incidentes establecido para ataques de ransomware de AD diariamente, incluida la contención y recuperación.
Administrar estrategias sólidas de copia de seguridad y recuperación, incluidas copias de seguridad fuera de línea para datos de AD aislados de la red.
2. Evaluar las Vulnerabilidades Actuales
Realizar evaluaciones regulares de vulnerabilidades es crucial y debe ser una pieza continua de la estrategia de ciberseguridad de una organización. Una vez identificadas las vulnerabilidades, deben abordarse rápidamente para minimizar los posibles vectores de ataque.
Para realizar una evaluación exhaustiva, las organizaciones deben primero hacer un inventario de sus sistemas, incluidos aquellos que dependen de Active Directory, tanto en la nube como en las instalaciones. Este inventario incluye una evaluación de la ubicación de las cuentas, interacciones del sistema, protocolos de acceso tanto para administración como para aplicaciones comerciales, ubicaciones de usuarios y grupos, y los métodos por los cuales se otorgan permisos y acceso. También es importante comprender qué plataformas de autenticación y SSO se emplean. El objetivo de la evaluación es obtener una imagen clara de dónde residen las identidades y permisos dentro de la organización, y cómo están interrelacionados.
3. Implementar Controles de Autenticación y Acceso Fuertes
Una vez que se establece un plan de recuperación y se han parcheado las vulnerabilidades actuales, es importante mantener y mejorar la seguridad de AD para prevenir ataques de ransomware, incluyendo:
Eliminar privilegios permanentes y habilitar flujos de trabajo administrativos basados en tareas just in time.
Establecer reglas, roles y automatización para procesos repetibles, seguridad intensificada y tareas administrativas manuales minimizadas.
Implementar una autenticación robusta de múltiples factores para todas las cuentas, especialmente las cuentas privilegiadas.
Realizar evaluaciones de seguridad automatizadas diarias para identificar y abordar vulnerabilidades en AD y Entra ID, complementadas con monitoreo continuo de amenazas potenciales con sistemas de alerta inmediata.
Las organizaciones de atención médica pueden mejorar significativamente su resiliencia contra los ataques de ransomware al implementar estrategias de protección proactiva, monitoreo continuo y estrategias de recuperación rápida. Este enfoque no solo fortalece la seguridad, sino que también reduce la probabilidad de tener que pagar rescates si se compromete, protegiendo en última instancia los datos de la organización, sus operaciones y, lo más importante, sus pacientes.
Foto: traffic_analyzer, Getty Images
Dmitry Sotnikov, como Director de Producto Principal en Cayosoft, que es una plataforma de gestión, monitoreo y recuperación de Active Directory de Microsoft. Él lidera la visión, estrategia, diseño y entrega de los productos de software de la empresa, asegurando que resuenen con las demandas del mercado y ofrezcan un valor inigualable a los usuarios. Con más de dos décadas en software empresarial de TI, computación en la nube y seguridad, Dmitry ha ocupado roles clave en organizaciones respetadas como Netwrix, 42Crunch, WSO2, Jelastic y Quest Software. Sus credenciales académicas incluyen maestrías en Ciencias de la Computación y Economía, complementadas con Educación Ejecutiva de la Escuela de Graduados de Negocios de la Universidad de Stanford. Más allá de sus esfuerzos corporativos, Dmitry se desempeña en el Consejo Asesor de la Extensión de la Universidad de California, Riverside, y ha sido reconocido con 11 premios MVP consecutivos de Microsoft.
Esta publicación aparece a través del programa MedCity Influencers. Cualquiera puede publicar su perspectiva sobre negocios e innovación en atención médica en MedCity News a través de MedCity Influencers. Haz clic aquí para averiguar cómo.