Acerca del 90% de las organizaciones de atención médica están inseguramente conectadas a Internet y ejecutan sistemas vulnerables a la explotación por bandas de ransomware, según una investigación publicada esta semana por la empresa de ciberseguridad Clarorty.
El informe examinó datos de más de 350 organizaciones de atención médica, encontrando que el 78% de ellas han realizado pagos de rescate de $500,000 o más.
Los incidentes de ciberseguridad en el sector de la salud a menudo son extremadamente costosos porque crean una amplia gama de costos, especialmente la imposibilidad de brindar atención a los pacientes, señaló Ty Greenhalgh, director principal de la industria de la salud en Claroty.
“Cuando los sistemas son bloqueados por ransomware o se ven afectados por ciberataques, los hospitales pueden verse obligados a desviar a los pacientes, cancelar procedimientos o volver a operaciones manuales, todas las cuales impactan los ingresos y la seguridad de los pacientes”, explicó.
Además de la interrupción del servicio, los costos pueden acumularse debido a cosas como los pagos de rescate, multas regulatorias, demandas colectivas y la provisión de servicios de protección de identidad para los pacientes afectados, agregó Greenhalgh.
Señaló que incluso gastos simples como las cartas de notificación se suman rápidamente cuando miles de personas se ven afectadas. Dependiendo de la organización de atención médica y su alcance, millones de personas podrían verse afectadas por un solo ciberataque. Por ejemplo, el ciberataque a Change Healthcare del año pasado expuso los datos de 190 millones de personas, y el ciberataque a Ascension del año pasado afectó a más de 5 millones de personas.
“Por ejemplo, a $0.15 por carta, una violación que afecta a 2 millones de pacientes resulta en un costo de $300,000 solo para enviar notificaciones. Combine esto con investigaciones forenses, recuperación de sistemas, ingresos perdidos y daño a la reputación y el impacto financiero total puede llegar a millones, o incluso miles de millones, de dólares”, explicó Greenhalgh.
En su opinión, la exposición más arriesgada que enfrentan las organizaciones de atención médica en este momento son los dispositivos de cara a Internet que tienen vulnerabilidades explotables conocidas (KEVs) vinculadas a ataques de ransomware en la naturaleza.
KEVs se refieren a fallas de seguridad que han sido activamente explotadas por ciberdelincuentes, representando un riesgo inmediato para los sistemas y requiriendo una remedición urgente.
“Estos dispositivos están comunicándose activamente fuera del sistema de salud, han sido comprometidos en ataques contra otras organizaciones y siguen siendo un objetivo principal para los ciberdelincuentes”, dijo Greenhalgh.
Las herramientas y procesos de ciberseguridad tradicionales que los proveedores de atención médica están utilizando para gestionar sus dispositivos de TI no están abordando adecuadamente estas vulnerabilidades, agregó.
Las organizaciones de atención médica a menudo luchan por mantenerse al tanto de las mejores prácticas de ciberseguridad debido a la rapidez con la que evoluciona el panorama de amenazas y a la complejidad de sus entornos operativos, afirmó Greenhalgh.
“Históricamente, los humanos eran el eslabón más débil, con phishing y la ingeniería social siendo los puntos de entrada principales para los atacantes. Sin embargo, desde 2024, la explotación de sistemas con las manos en el teclado ha aumentado, haciendo que el hacking directo de sistemas sea igual de frecuente”, comentó.
Los ciberdelincuentes no dejarán de atacar a los proveedores de atención médica, por lo que no pueden evitar completamente que un hacker motivado acceda a su red, señaló Greenhalgh. En cambio, dijo que su enfoque debería centrarse en elevar las barreras para el movimiento lateral y la escalada de privilegios, que son pasos clave en los ataques de ransomware. Estos pasos permiten a los atacantes propagarse a lo largo de una red, obtener acceso de nivel superior y maximizar el daño cifrando los sistemas y datos críticos de una organización.
Pero los proveedores de atención médica tienen una tarea muy difícil por delante cuando se trata de elevar las barreras de riesgo, dijo Greenhalgh.
“Esto requiere bases sólidas de ciberseguridad, incluida la identificación de dispositivos, el mapeo de comunicaciones, la segmentación de redes y la gestión de vulnerabilidades, todo lo cual es difícil de lograr”, declaró.
Foto: WhataWin, Getty Images