Raúl Núñez, experto en ciberseguridad en el ámbito sanitario.
Los
sistemas hospitalarios pueden llegar a resultar excesivamente
complejos a la hora de instalar un hardware con todas las garantías de seguridad que una red "normal o de una empresa", ya que hay que tener en cuenta diversos puntos a la hora de protegerla y
un error "puede salir caro". Así lo explica a
Redacción Médica Raúl Núñez, experto en ciberseguridad con contacto en el sector sanitario y que reconoce que descuidar las instalaciones en estos centros llega a desencadenar unas consecuencias arriesgadas.
"El tener un sistema desactualizado en un hospital
es como dejar abierta la puerta de tu casa. Esto puede permitir a las
organizaciones de ciberdelincuentes o hackers hacerse con una comunicación dentro del centro y que, a partir de ahí, sean capaces de aprovechar esa vulnerabilidad para explotar todos los sistemas que puedan y
hacerse con el control del hospital", analiza Núñez, que ejerce en la empresa de ciberseguridad
Trend Micro Iberia, con experiencia en el sector sanitario con algunos de los
principales organismos de salud autonómicos y empresas de sanidad privada.
Por ello, quienes se encargan de la instalación de estos hardware sanitarios deben
alejarse de las "malas prácticas" y estar
"concienciados" de que una instalación de este tipo en un hospital debe seguir el mayor control posible. "Nos hemos encontrado muchas veces que la persona que va a hacer el mantenimiento de ese hardware, hace malas prácticas tales como
actualizar el dispositivo con un USB que se trae de casa. Esa persona puede desconocer que ahí tiene un malware y lo pincha en un dispositivo que a su vez está conectado a una red hospitalaria", pone de ejemplo Núñez.
El problema reside en que se pueden tener
sistemas obsoletos "con gran número de vulnerabilidades" y las piezas de software "maliciosas" que se encuentran hoy en día buscan, precisamente, esa propagación o una vulnerabilidad dentro de la red que les haga "estar en una máquina interna y a partir de ahí empezar a propagarse y a enviar información hacia fuera".
Instalación de hardware hospitalario con "conciencia"
Una mala praxis puede provocar la caída de un servicio hospitalario. Por ello desde la ciberseguridad insisten en que el primer paso clave es la "concienciación", no solo al personal hospitalario, también al propio integrador que instale el hardware: "Lo primero que tiene que hacer es conocer el problema a la perfección, porque una instalación deficiente en un hospital
puede llegar a provocar daños personales".
Un segundo punto importante para garantizar el éxito en el proceso de instalación de un nuevo hardware sanitario con garantías de seguridad es el
conocimiento de la arquitectura, el control de comunicaciones y los protocolos a utilizar. "Es muy interesante conocer el entorno donde vamos a hacer la instalación, cuáles son las necesidades", asegura. Un tercer punto en este protocolo de implantación sería la "flexibilidad" y, a la hora de explicar la situación al centro hospitalario "ser lo más flexibles posibles" para adecuarse a las necesidades concretas del hospital.
"Una instalación de hardware deficiente en un hospital puede llegar a provocar daños personales"
|
Garantías de seguridad para no poner en riesgo un hospital
Uno de los puntos a tener en cuenta para garantizar la seguridad de instalación de hardware en un hospital es conocer las piezas necesarias que incluye esta implantación. "Cuando alguien instala un dispositivo de electromedicina, no solamente está el dispositivo hardware, va a estar gestionado por un PC o por un sistema operativo remoto. Hay que ver
cuáles son las conexiones necesarias para las distintas piezas a gestionar, sobre todo, porque nos hemos encontrado en muchos casos que esta pieza de hardware se gestiona desde sistemas operativos antiguos y obsoletos, que tienen un gran número de vulnerabilidades y que ponen en riesgo la red hospitalaria", concreta.
El siguiente punto clave radica en que el hardware que se va a instalar "suele necesitar una comunicacion a nivel de red", lo que requiere
explicar claramente cuáles son las comunicaciones y protocolos utilizados. Además, para garantizar el éxito, la persona que vaya a instalar ese hardware "tiene que asegurar que no instala ningún software ni ninguna pieza de hardware que no esté completamente actualizada y parcheada". Núñez insiste en que en ocasiones se han dado casos de este tipo, lo que genera un
punto de entrada para los hackers "muy sencillo".
Finalmente, se debe
adecuar un bastionado a nivel de comunicaciones. "Si el fabricante nos ha explicado bien qué hace esa pieza, el hospital debería únicamente permitir esos protocolos específicos, y no como antiguamente hacía, permitiendo reglas permisivias", recuerda. Núñez no olvida que se deben utilizar productos y soluciones contrastadas. "El mundo informático y de la seguridad cada vez va más rápido y podemos encontrarnos con soluciones de todo tipo que pueden parecer muy innovadoras pero que
no están certificadas oficialmente. Esto no te da una garantía al cien por cien, pero al menos sabes que ha pasado un mínimo de requisitos a nivel de seguridad", concluye.
Las informaciones publicadas en Redacción Médica contienen afirmaciones, datos y declaraciones procedentes de instituciones oficiales y profesionales sanitarios. No obstante, ante cualquier duda relacionada con su salud, consulte con su especialista sanitario correspondiente.