La 'industria hacker sanitaria' ha llegado: "Manipular es su herramienta"

Los profesionales sanitarios pueden ser el gran escudo frente a los ciberataques. A menudo, son ellos mismos quienes, sin querer, dejan la puerta abierta a los hackers que roban información muy valiosa y ponen en peligro la continuidad de los sistemas. Los datos sanitarios están muy demandados en la dark web y muestra de ello es que, según el informe de Check Point, en España y Portugal se registraron 2.361 ataques semanales durante el primer semestre de 2024. El conocimiento en ciberseguridad debe tocar a todos los profesionales sanitarios, empezando por arriba, por la Dirección.

"Es necesario proporcionar a los directivos herramientas necesarias para tomar decisiones informadas en un ámbito tan crítico como la ciberseguridad en la sanidad. No se trata de profundizar en aspectos técnicos, sino de presentar los conocimientos fundamentales para comprender el contexto de los riesgos cibernéticos y su impacto estratégico en los hospitales", especifica Laura Prats, cyber risk manager de Relyens en España.

Por este motivo, para empezar con la punta del iceberg, Relyens y la Sociedad Española de Directivos de la Salud (Sedisa) han sumado fuerzas y, a través de una colaboración, han ofrecido un programa formativo en materia de ciberseguridad para directivos sanitarios. Concretamente, son cuatro sesiones en las que se abordan los principales 'ciberretos' en el entorno sanitario.

Por ejemplo, el programa también ha incluido una introducción a la evaluación de riesgos, orientada a identificar y priorizar amenazas, y una explicación de las principales vulnerabilidades y retos a los que se enfrenta el sector sanitario desde una perspectiva ciber. Esta aproximación ha permitido ofrecer una formación práctica y directamente aplicable al entorno de toma de decisiones de los directivos.

Directivos sanitarios en ciberseguridad

En palabras de Conrado Domínguez, coordinador del Grupo de Trabajo de Inteligencia Artificial de Sedisa y miembro de la Junta Directiva de la sociedad, se abordan temas como las normativas de ciberseguridad, la protección de datos sensibles, la evaluación de riesgos, las amenazas digitales y las estrategias de ciberresiliencia.

"La digitalización ha aumentado las amenazas cibernéticas en el sector salud, poniendo en riesgo la privacidad de los pacientes, la continuidad operativa y el cumplimiento normativo. Los directivos deben liderar estos procesos sobre todo lo referido a la protección y gobierno efectivo de los datos, así como proteger las infraestructuras sanitarias frente a estas amenazas y que además nos permita la introducción de la inteligencia artificial en nuestras instituciones con todas las garantías", asegura Domínguez.

No hay duda de que la ciberseguridad es una actividad ya imprescindible en los centros sanitarios. Cada vez más los servicios sanitarios se apoyan en tecnologías avanzadas y en el tratamiento de los datos de salud, pero, según Prats, es necesario mantener este entorno digital en óptimas condiciones de operación y confidencialidad. Para ello se necesitan estrategias y políticas que marquen las acciones a desarrollar para garantizar la ciberseguridad.

"Estas tareas estratégicas son responsabilidad de la Dirección de los centros sanitarios. Sin embargo, hasta ahora los riesgos de ciberseguridad no formaban parte de los conocimientos adquiridos por estos profesionales, por lo que era muy complicado que comprendieran la importancia de la ciberseguridad y su relación con la prestación del servicio sanitario e, incluso, la seguridad del paciente", explica la cyber risk manager de Relyens en España.

---

Prats: "Si la Dirección sanitaria no tiene la formación adecuada, no asignará los recursos necesarios para aplicar estrategias alineadas con el servicio médico"

---

Hay que tener en cuenta que los ciberdelincuentes ya no son amateurs que pasan sus ratos libres intentando acceder a los hospitales como un reto personal. Tal y como relata la experta, ahora mismo existe una verdadera industria de la ciberdelincuencia con ataques cada vez más sofisticados y dirigidos, por lo que las medidas a tomar deben estar en permanente adaptación y revisión: "Para conseguir una protección sólida y con posibilidades de éxito, se tiene que abordar como un proceso de gestión de la organización, debe formar parte de la cultura de Dirección. Las medidas a implantar deben responder a un análisis de riesgos que establezca los puntos débiles en los que hay que mejorar, las medidas a establecer y que ayude a priorizar las acciones. Decimos que la dirección de la ciberseguridad debe convertirse en un proceso de la organización porque, en un contexto tan tecnológico como el sanitario y con tan rápida evolución, la ciberseguridad tiene que incluirse desde la definición misma de los proyectos tecnológicos, yendo a una ciberseguridad desde el diseño e integrada en todo proyecto tecnológico". 

¿Y si el ataque ya ha sucedido? Ante una situación que puede paralizar el centro sanitario al completo, es imprescindible tener planes de acción preparados, ensayados y con todo el personal implicado entrenado en su aplicación. Al final se trata todo de una cadena, dice Prats, puesto que si la Dirección no tiene la formación adecuada, difícilmente asignará los recursos necesarios para aplicar estrategias alineadas con el servicio médico. Si los equipos técnicos no tienen la formación y medios suficientes, el mantenimiento y configuración de los sistemas será deficiente y no estarán preparados para detectar y responder rápidamente en caso de un incidente. Si el personal en general no conoce cómo utilizar los sistemas tecnológicos de forma segura, el riesgo de un mal uso de contraseñas o de una utilización insegura del correo o la web incrementará las opciones de que sufrir un ciberataque con éxito.

"La ingeniería social, o cómo manipular a las personas, es la primera herramienta de la que se sirve un ciberdelincuente y, en segundo lugar, se ha acuñado el concepto 'firewall humano' por la capacidad que tienen las personas bien formadas para detectar un ataque y evitarlo a tiempo. Ambos conceptos están directamente ligados con la formación como herramienta de resiliencia", expone.

Regulaciones en materias de ciberseguridad

En esta misma línea, los participantes toman conciencia del impacto a nivel económico, legal y clínico que los ciberataques pueden generar en las organizaciones sanitarias. En palabras de los organizadores (Relyens y Sedisa), se han tratado distintos ámbitos como las regulaciones y directivas españolas y europeas en materias de ciberseguridad, metodologías de evaluación de riesgos o taxonomía de las amenazas, tanto las tradicionales como las nuevas que surgen al amparo de la inteligencia artificial.

De esta forma, se adaptan también a la entrada en vigor de la Directiva NIS2 (Directiva (UE) 2022/2555), tal y como detalla Laura Prats, cyber risk manager de Relyens en España: "Una de las principales novedades de la directiva NIS2 es la asignación de responsabilidad directa a la Dirección en la gestión de la ciberseguridad. Para cumplir con este cometido de manera efectiva, es fundamental que los directivos cuenten con los conocimientos necesarios para tomar decisiones bien fundamentadas e informadas, lo que permitirá que los sistemas de ciberseguridad evolucionen de manera sólida y eficiente".

En definitiva, desde Domínguez señala que es una forma de que los directivos de la salud comprendan el impacto de las amenazas y adquieran herramientas prácticas para garantizar la seguridad digital, proteger los datos sensibles y asegurar la continuidad de los servicios en sus instituciones.