Ransomware y servicios de salud: la amenaza silenciosa

A pesar de que las amenazas que enfrentan las organizaciones de servicios de salud son muchas, el ransomware (secuestro de archivos) es una que ha crecido enormemente los últimos años. En vistas de graves incidentes y su aparición en los periódicos, como los relacionados con Medstar Health y Hollywood Presbyterian Medical Center, es bueno analizar qué sucede en las organizaciones de salud.

¿Qué es lo que hace a las organizaciones de servicios de salud tan vulnerables a estos ataques?

Actualmente, existen muchos, muchos problemas de programas malignos en los servicios de salud. Para entender por qué, piense en las aplicaciones que el servicio de salud utiliza para brindar atención a los pacientes. Muchas son aplicaciones basadas en políticas. Son antiguas y obsoletas, pero hacen su trabajo, por lo que es difícil justificar su reemplazo. Eso genera riesgos, ya que en los últimos 10 años en los servicios de salud, incluso hasta lo más simple, como aplicar parches de seguridad, se ha convertido en un problema. Esto genera un espacio fértil para que el ransomware se propague.

Además, con la Ley de Reinversión y Recuperación de Estados Unidos y la Ley de Tecnología de la Información de Salud para Salud Económica y Clínica (HITECH, Health Information Technology for Economic and Clinical Health) aprobadas en 2009, se incentivó de verdad a las organizaciones de servicios de salud para que adopten el uso de historias clínicas electrónicas. Todos se pasaron rápidamente, sin detenerse de verdad a pensar sobre la seguridad. Eso generó muchas vulnerabilidades y creó muchos riesgos para las organizaciones.

¿En qué es diferente el ransomware, comparado con otros tipos de programas malignos?

Los programas espía y otros tipos de programas malignos buscan reunir credenciales, comprometer sistemas y extraer datos. El ransomware intenta que los datos no estén disponibles. Es un ataque que niega los servicios en los sistemas y datos de TI. Pensemos en él como una forma de chantaje cibernético: comprometo su sistema, cifro todos los datos en ese sistema y entonces le digo que deben pagarme para obtener de nuevo esos datos.

Si los datos en sí no se roban, ¿cuál es el riesgo?

En los servicios de salud, si tengo un sistema con datos críticos que no están disponibles, esto genera un gran problema para la seguridad del paciente y la prestación de cuidados. Pensemos en MedStar. A comienzos de este año, cerraron su sistema de registros de salud electrónicos. Observemos el impacto que ésto tuvo en los pacientes. ¿Cómo puedo tratar al paciente en la sala de emergencias si no tengo información sobre él?  No puedo hacerlo. Tengo que hacer una de dos cosas: tratar de encontrar registros en papel o enviar a esos pacientes a otro lugar.

En general, los pagos por ransomware se limitan a individuos en sus hogares. No es algo que llegue a los titulares. Pero ahora comenzamos a ver que grandes organizaciones, por ejemplo, Hollywood Presbyterian, pagan para recuperar sus datos clínicos. El FBI será el primero en decir que nunca se debe pagar ese rescate. Pero, sinceramente, es la organización que recibió el impacto quien debe tomar la decisión.

¿cómo se protegen las organizaciones de servicios de salud?

Primero, lo más importante que cualquier organización puede hacer es educar a sus usuarios. El riesgo más grande es la persona detrás del teclado, ya que alcanza con que una persona haga clic en un vínculo que no corresponde para desatar el caos en la red de una organización de servicios de salud. Si eso sucede, no existe tecnología, por más milagrosa que sea, que pueda resolver el problema. Lo más importante es contar con los conocimientos necesarios: la correcta aplicación de parches y actualización de los sistemas; defensas en capas para dispositivos y redes, como antimalware, filtros de contenidos y de correo electrónico; y controles de autenticación y de acceso apropiados. Todas estas cosas hacen referencia a lo que se llama «defensa en profundidad».

Ninguna de estas tecnologías parece ser demasiado nueva, ¿por qué los delincuentes continúan apareciendo?

Es verdad, siempre tuvimos todas estas herramientas de seguridad disponibles y aquí es donde creemos que la virtualización juega un rol importante en cambiar la manera en que las organizaciones de servicios de salud abordan la seguridad. Vemos una necesidad cada vez mayor de que la seguridad sea abordada desde el punto de vista arquitectónico, no solo como productos que se implementan en toda la organización. La virtualización es una capa de separación entre la infraestructura de TI y las aplicaciones, y como tal, puede actuar como una capa de traducción: una oportunidad para visualizar, gestionar y controlar la infraestructura desde la perspectiva de las aplicaciones. Podemos aprovechar esta propiedad para repensar la seguridad. Los usuarios pueden hacer esto mediante tecnologías como la infraestructura de escritorio virtual y la administración de la movilidad empresarial, o en la red y en el centro de datos con la virtualización de redes. Estas tecnologías ayudan a crear una arquitectura que segmenta y aísla a los atacantes de las fuentes y limita sus posibilidades y a qué pueden acceder incluso si logran perforar el perímetro de seguridad.

¿Y si incluso así ocurre lo peor?

Creo que la tecnología juega un rol muy importante cuando se trata del tiempo de respuesta ante un incidente, pero esta respuesta se basa verdaderamente en las personas y los procesos. Los accidentes pasan. Los errores suceden. Realmente se trata de cómo reaccionamos a esos incidentes, eso nos definirá como organización. La clave es que toda la organización esté de acuerdo con esta idea: «Siempre sucederán cosas inesperadas. Así es cómo reaccionamos a ellas. Así es cómo las prevenimos en el futuro».