Por Miguel Ángel Martín Peña on Lunes, 13 Abril 2020
Categoría: General

Ciberseguridad en hospitales y centros sanitarios

Hoy dado el estado de alarma en el que vivimos hemos decidido hacer una pequeña entrevista a Fernando Acero, Coronel del Ejército del Aire en la Reserva, CISO y consultor de Ciberseguridad e Inteligencia con una gran trayectoria profesional en el ámbito de la ciberseguridad y que ha luchado y conoce de primera mano el coronavirus, y a Miguel Ángel Martín CEO y fundador de Hack by Security con amplia experiencia tanto en labores de ciberseguridad y ciberinteligencia como en el ámbito social y humanitario.

PREGUNTA: Sin tener en cuenta el estado de crisis causado por el coronavirus ¿Cual crees que es la situación, en el ámbito de la ciberseguridad, de los hospitales y centros sanitarios?

RESPUESTA Fernando Acero: Los hospitales, centros sanitarios y centros de investigación relacionados con el SARS-Cov-2, son infraestructuras críticas, de las que dependen la vida de muchas personas.

El pasado viernes 17 de febrero, el hospital de Torrejón de Ardoz, fue atacado mediante un ransomware que afectó a todos sus sistemas informáticos. En ese momento saltaron todas las alarmas y desde esa fecha, hay muchas cosas que han cambiado para mejor en la protección de los hospitales, centros sanitarios y centros de investigación. De alguna forma, dicho ciberataque sirvió para concienciar de un grave problema, algo que afortunadamente nos ha preparado para los ciberataques que se están sufriendo ahora.

https://www.elmundo.es/ciencia-y-salud/salud/2020/01/21/5e274be1fdddffcf088b462d.html

El pasado día 26 de marzo, la Policía Nacional comunicó que se habían detectado ciberataques contra hospitales. Se trataba de un ransomware, denominado "NetWalker", que se intentaba propagar mediante mensajes de correo electrónico. Este ciberataque fue neutralizado por la Policía Nacional que protege las infraestructuras críticas españolas.

https://elpais.com/espana/2020-03-23/la-policia-detecta-un-ataque-masivo-al-sistema-informatico-de-los-hospitales.html

Por otra parte, la Interpol alertó el pasado día 5 de abril, de que los cibercriminales tenían en su punto de mira a las instituciones sanitarias, con la intención de infectarlas con ransomware.

https://www.interpol.int/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware

RESPUESTA Miguel Ángel: En España, mal que nos pese, somos reactivos, hasta que no pasa algo grave, no nos damos cuenta del peligro. Pasa igual con la ciberseguridad; si no existiesen los ciberdelincuentes no seríamos necesarios, pero como existen hay que tratar de prevenir y minimizar tanto los ataques como el impacto de los mismos.

PREGUNTA: ¿Crees que se está haciendo o tomando alguna medida para mejorar dicha situación?

RESPUESTA F.A: Los hospitales, como infraestructuras críticas, están recibiendo apoyo para garantizar su ciberseguridad por parte de las Fuerzas y Cuerpos de Seguridad del Estado. Desde el ataque con éxito al hospital de Torrejón de Ardoz, se han tomado muchas medidas para la protección de los mismos. Por ejemplo, se están haciendo copias de seguridad y se ha procedido a la segmentación de la red, es decir, se ha dividido la red en varias partes, de forma que una de esas partes se ve afectada por un ransomware, el resto de los segmentos en los que se ha dividido la red no se vean afectados. Asimismo, se han añadido otros sistemas de protección lógica para mejorar la ciberseguridad de los sistemas de y las estaciones de trabajo.

https://elpais.com/espana/2020-03-23/la-policia-detecta-un-ataque-masivo-al-sistema-informatico-de-los-hospitales.html

Hay que señalar, que desde que empezó la crisis del coronavirus, también ha habido muchas empresas de ciberseguridad que han ofrecido, de forma gratuita, sus servicios o productos a los hospitales, lo que también ha contribuido a mejorar notablemente su ciberseguridad. Los enlaces siguientes son ejemplos de este tipo de acciones, hay muchas más empresas que han realizado este tipo de acciones.

https://www.itdigitalsecurity.es/actualidad/2020/03/kaspersky-ofrece-gratis-sus-soluciones-a-las-organizaciones-sanitarias

https://www.itdigitalsecurity.es/endpoint/2020/03/cytomic-ofrece-licencias-de-cytomic-epdr-sin-coste-al-sector-sanitario

https://www.itdigitalsecurity.es/actualidad/2020/03/s21sec-ayuda-al-sector-sanitario-a-prevenir-ataques-durante-la-crisis-del-covid19

https://www.itdigitalsecurity.es/infraestructuras-criticas/2020/03/bitdefender-anuncia-soluciones-de-ciberseguridad-gratuitas-para-las-organizaciones-sanitarias

Finalmente, la una comunidad internacional de hackers se ha organizado para proteger a los hospitales de ciberataques. Esta comunidad está formada por varios foros y grupos -también llamados cibercoaliciones- en canales de Slack, Telegram, Discord, etc. En esos canales se analizan y revisan las amenazas que van surgiendo. Además, como estos grupos tienen integrantes de todo el mundo con distintos husos horarios, funcionan 24/7. Y los que se van a dormir pueden ponerse al día con lo que ha hecho el resto de los participantes durante esas horas de descanso.

https://www.barcelonadot.com/la-liga-mundial-de-la-ciberseguridad-se-formo-para-luchar-contra-el-ransomware-a-los-hospitales/

A fecha de hoy no se tiene noticia de ningún ciberataque con éxito a una infraestructura sanitaria en España durante la crisis del coronavirus. No ha sido así en otros países, cuando el pasado viernes 20 de marzo, un centro de investigación sobre el coronavirus de la República Checa, fue paralizado por un ciberataque exitoso mediante ransomware.

https://www.pandasecurity.com/spain/mediacenter/noticias/ciberataque-centro-pruebas-coronavirus/

RESPUESTA M.A: Quiero creer que sí, pero la sensación es que no, es suficiente con ver el día a día de su personal, entiendo que se puede dejar desatendido un PC para cuidar o tratar un paciente, pero esa no es la realidad, se dejan los equipos desatendidos por norma general, al igual que otros múltiples vectores de ataque, por lo tanto el personal sanitario no está formado en ciberseguridad y concienciación; en toda cadena siempre hay un eslabón más débil, en el caso de la ciberseguridad es el error humano, por lo tanto para minimizar los posibles ataques todo el personal sanitario debería estar preparado o formado.

Por otro lado, está el aspecto tecnológico, quizá en algunos hospitales o centros de salud se siguen unas directrices e incluso cuentan con su propio equipo de TI, pero eso no es algo generalizado, pensemos en centros de salud de poblaciones medianas o pequeñas, estos centros deberían estar provistos de equipos maquetados y securizados.

PREGUNTA: ¿Hay una concienciación suficiente en el ámbito sanitario?

RESPUESTA F.A: Desconozco las acciones de concienciación que se hayan llevado a cabo con el personal sanitario en fechas previas a la pandemia del coronavirus, pero si consideramos el problema de la concienciación y formación en ciberseguridad de forma global en la sociedad española, lo normal es que haya grandes carencias en este campo.

Ahora, en plena crisis sanitaria, tampoco es el momento para acometer este tipo de acciones de concienciación y formación, puesto que supone apartar de su trabajo durante un tiempo a un personal, ya saturado y agotado por su trabajo.

Evidentemente, tarde o temprano, la sociedad española debe tomar conciencia de este problema que afecta a la ciberseguridad de todos. Considero que tarde o temprano se deberá incluir en todos los ciclos formativos contenidos de ciberseguridad, tanto de formación como de concienciación.

Un miembro de una organización que no cuente con una formación y concienciación adecuada en ciberseguridad, es un peligro en potencia para él y para la organización de la que forma parte. Por otra parte, la concienciación es necesaria, ya que nadie se puede proteger adecuadamente de algo que desconoce.

RESPUESTA M.A: En el ámbito sanitario, al igual que en otros muchos sectores, no son conscientes del efecto destructivo que puede tener un ciberataque, su trabajo habitual es cuidar de nuestra salud y salvar vidas, pero no se dan cuenta de que, si un ciberdelincuente secuestra o modifica los datos de un paciente, las medicinas o el tratamiento que va a recibir puede ser erróneo y perjudicial para su salud. La ciberdelincuencia se ve como algo lejano y que no les afecta, pero en ese sentido se equivocan, todos podemos ser víctimas.

PREGUNTA: ¿Qué medidas o normativas propondrías para mejorar la ciberseguridad en los hospitales y centros sanitarios?

RESPUESTA F.A: Dado que la principal amenaza es el correo electrónico, es importante implementar medidas de seguridad orientadas a la protección del correo electrónico.

Me consta que hay hospitales, que ante la grave amenaza que representaba el correo electrónico, han limitado el acceso al mimo en la red corporativa y han activado equipos separados de la red (kioscos), para poder acceder al correo electrónico de forma que, si el ransomware acaba afectando a uno de esos equipos, el hospital pueda seguir operando con normalidad.

También he de decir que tiempos excepcionales, es posible que se tengan que tomar de medidas excepcionales por urgencia o por un aumento significativo del riesgo. Por ejemplo, se puede prohibir el acceso al correo electrónico y a la navegación web desde los terminales de la red corporativa y permitir solamente el correo y la navegación web a través de teléfonos inteligentes corporativos. Asimismo, se pueden seleccionar los sistemas y terminales críticos para el normal funcionamiento del hospital y ponerlos en una VLAN (segmento de la red) aislado de Internet y del resto de equipos con acceso a la navegación Web y al correo electrónico. En esa VLAN separada de Internet podrían estar todos los sistemas críticos para el hospital, por ejemplo, los equipos de soporte vital con conexión a la red y de diagnóstico, así como las bases de datos con los historiales críticos.

RESPUESTA M.A: En estos momentos sabemos que es difícil pensar en la ciberseguridad por parte de los profesionales sanitarios cuando están atendiendo y salvando vidas, pero siempre

deben de estar alerta, si un profesional sanitario accede a un enlace que no debe o descarga un fichero malicioso, puede infectar a toda la red del centro donde esté

trabajando, dependiendo del tipo de virus o ransomware se podrían cifrar expedientes médicos, colapsar equipos informáticos, dejar de funcionar escáneres, ...

En definitiva, el daño producido por un ciberataque en estados de crisis, cuando las personas somos más vulnerables, puede ser devastador.

La ciberseguridad se parece más de lo que parece a la sanidad. Y es que, igual que se previenen ciertas enfermedades con vacunas, éstas serían la formación y las auditorías cíclicas del estado de la seguridad de los sistemas.

Desde Hack by Security nos hemos puesto en contacto con las autoridades para ofrecerles nuestros servicios de forma desinteresada y con el único objetivo de ayudar en estos momentos complicados.

PREGUNTA: Ahora dado el estado de alerta, ¿piensas que han aumentado el número de ciberataques a hospitales? ¿porqué? ¿qué crees que persigue con ello un ciberdelincuente?

RESPUESTA F.A: Como he comentado anteriormente, los ciberataques a infraestructuras sanitarias se han incrementado de forma muy preocupante las últimas semanas. De hecho, los dominios maliciosos relacionados con el COVID-19, se han incrementado entre un 50% y un 60% en la última semana. Evidentemente el motivo es económico. Los ciberdelincuentes consideran que, si atacan con éxito a una infraestructura sanitaria en un momento tan crítico como en que nos encontramos, se estará dispuesto a pagar lo que sea para poder recuperar el normal acceso a los sistemas. Asimismo, el robo de historiales médicos pude ser muy lucrativo para los atacantes, puesto que se pueden llegar a pagar más de 800 euros por cada uno en el mercado negro.

https://www.20minutos.es/noticia/3679000/0/masivo-ciberataque-hospitales-rumano-robar-datos-pacientes/

RESPUESTA M.A: Totalmente. Desde octubre de 2019 se han incrementado los ataques a organizaciones sanitarias, siendo especialmente destacable los meses de febrero y marzo. Entre otros ataques más concretos y específicos, detectamos campañas de phising al eslabón más débil de la cadena de seguridad que es el propio usuario ya bien sea del propio centro o usuarios finales, correos fraudulentos, ataques a los activos críticos expuestos en la red...

https://blogs.publico.es/kaostica/2020/03/30/ciberdelitos-covid19/

https://es.beincrypto.com/hospitales-de-espana-sufren-ciberataques-ransomware-con-btc-en-plena-crisis-del-coronavirus/

https://www.xataka.com/seguridad/ataque-malware-a-hospitales-realidad-ataque-global-phishing-coronavirus-esta-todas-partes

PREGUNTA: ¿Por qué es importante tener conciencia de la ciberseguridad y cuáles son las posibles consecuencias de un ciberataque en un hospital o centro sanitario?

RESPUESTA F.A: Nuestra sociedad es altamente ciberdependiente y los hospitales, centros sanitarios y centro de investigación, no son una excepción. Los procesos de digitalización de productos y servicios son muy agresivos, y no siempre se han tenido en cuenta el ciclo de vida (tiempo que transcurre hasta que es necesaria una renovación del hardware y/o el software del sistema) y que suele requerir una nueva inversión similar o mayor que la inicial, o la ciberseguridad, que anteriormente se percibía como un gasto por las organizaciones, cuando realmente es una inversión para cualquier organización.

Las consecuencias de un ciberataque a un hospital, centro sanitario o centro de investigación, puede poner en grave riesgo la vida de las personas. En el caso de los centros de investigación, pueden retrasar, o hacer que se pierdan por completo los resultados de la investigación, lo que es muy grave, dadas las circunstancias.

RESPUESTA M.A: Hablando de ciberseguridad, concienciación, no se le va a pedir (sería una locura y una equivocación) a un profesional sanitario determinados conocimientos técnicos,

pero sí un uso responsable y un conocimiento mínimo sobre el daño que puede suponer un ciberataque, y como, en la medida de lo posible, prevenirlo o al menos minimizar el impacto.

En ciberseguridad siempre las personas somos el eslabón más débil de la cadena, por este motivo hay que enseñar a toda la población en general una serie de pautas; que van desde

la no difusión de noticias falsas, debemos cerciorarnos sobre qué reenviamos a nuestros contactos o publicamos en redes sociales, haciendo caso a las fuentes oficiales a saber

distinguir un mail fraudulento de uno auténtico; en el primer caso se puede crear un ambiente de histeria y estrés no necesario en el resto de la población, en el segundo caso,

podemos infectar nuestros equipos o caer en una estafa y perder dinero, reputación, información personal, ...

Como indicábamos anteriormente, si cierta información que puede manejar un centro sanitario se hiciese pública, podría dañar la imagen de los implicados o si se realizase un ataque de denegación de servicio sobre algún tipo de dispositivo médico, por ejemplo, un escáner, paralizaría las pruebas que dicho escáner tiene que hacer. Pero ¿qué sucede si el ataque es a todos los escáneres del mismo centro sanitario? Pues que el problema se agrava y podría verse en peligro la salud de algún paciente. Este es el último extremo, por mucho que suene a ciencia ficción, si un marcapasos o una bomba de insulina no han seguido unos estándares de seguridad en su fabricación, el acceso a estos dispositivos por parte de un ciberdelincuente es real y las consecuencias pueden ser funestas.

​Fernando Acero
Coronel del Ejército del Aire en la Reserva, CISO
​Miguel Ángel Martín
CEO de Hack by Security

Hasta aquí la opinión de los dos expertos entrevistados, esperamos que os haya sido útil y haya aportado una visión actual del estado de la seguridad en los hospitales y centros sanitarios, y agradecer a ambos su implicación y labor en los tiempos que corren.

Un saludo a nuestros seguidores y a continuar luchando, ya sabes #quedateencasa

Always Learning.