AGENCIA: SIM
Aunque la gente tiende a pensar que, si una gran organización es atacada, el método de ataque debe haber sido complicado y sofisticado para vulnerar sus defensas, espero que no sea tan «sofisticado y complejo» como afirman. Lo más probable es que este reciente ataque al Hospital de Barcelona no haya sido más que un ataque de ransomware normal y corriente, como todos los demás. Los ataques de ransomware se realizan normalmente mediante correos electrónicos de phishing o comprometiendo credenciales oficiales, lo que significa que basta con que una persona cometa un error humano para ejecutar un ataque devastador. Estos ataques impiden a los usuarios acceder a datos críticos o incluso a su propio ordenador, mediante un malware que bloquea el ordenador o borra, cifra o roba datos. Para restaurar la funcionalidad completa y recuperar el acceso a los datos, la víctima debe pagar un rescate, que puede llegar a exigir millones de dólares, dependiendo de la posición financiera y el prestigio de la víctima.
Los atacantes de ransomware no discriminan cuando se trata de objetivos, victimizando a todo el mundo, desde usuarios de oficinas domésticas hasta grandes corporaciones. El sector sanitario es un objetivo interesante para los atacantes de ransomware, ya que es más susceptible a estos ataques que otros sectores. Como las organizaciones sanitarias suelen almacenar datos confidenciales sobre un gran número de personas, son un objetivo excepcionalmente atractivo para los piratas informáticos. Investigadores de la Universidad de Minnesota y la Universidad de Florida informaron recientemente en el Foro de Salud de JAMA de que la frecuencia de los ataques a la sanidad se ha duplicado en los últimos cinco años. Estos ataques tienen como objetivo robar y vender información personal o retener sistemas y datos hostiles con la esperanza de obtener un rescate, a sabiendas de que los hospitales no pueden permitirse la pérdida de información tan valiosa.
El ejemplo más reciente del ataque contra un hospital de Barcelona es un recordatorio de lo vulnerables que son los hospitales cuando se trata de ciberataques. Los entornos sanitarios suelen tener sistemas heredados antiguos que no se pueden parchear o no se parchean porque piensan erróneamente que estas máquinas están en una red aislada. Esto puede facilitar a los atacantes su explotación una vez dentro de la red. La actualización de las infraestructuras digitales no es una tarea fácil, ya que es costosa, lleva mucho tiempo y requiere un tiempo de inactividad que la mayoría de los centros sanitarios no pueden permitirse. Esto plantea un dilema a las organizaciones sanitarias de todo el mundo, ya que la mayoría de los hospitales eligen la opción más fácil, pero más arriesgada y barata, de confiar en infraestructuras obsoletas.
Como en todos los sectores, también existe una cierta monocultura con determinados programas informáticos, como por ejemplo el sistema de registro de pacientes, que puede permitir a los atacantes encontrar exploits que funcionen en múltiples objetivos. Hasta ahora, no se han compartido los detalles de los ataques, por lo que se desconoce cuál fue el vector de ataque y si está relacionado con correos electrónicos maliciosos, autenticación débil o sistemas sin parches. El informe 2022 Data Breach Investigations Report de Verizon concluyó que el 82% de las brechas implican errores humanos, incluyendo phishing y suplantación de figuras oficiales para obtener credenciales sensibles.
Por supuesto, como se ha mencionado anteriormente, estar en línea es crucial para los proveedores de atención sanitaria y a menudo tienen datos muy sensibles; por lo tanto, normalmente no pueden permitirse estar fuera de servicio o perder datos y podrían estar más dispuestos a pagar un rescate. En el reciente ataque contra el hospital, se supone que el grupo atacante Ransom House llevó a cabo una típica doble extorsión, en la que no sólo se interrumpen los sistemas, sino que también se roban datos sensibles, como los ensayos clínicos. El hospital tuvo que reprogramar y cancelar algunos procedimientos de pacientes, lo que puede dar lugar a complicaciones para muchos de estos pacientes y mostrar los peligros de los ataques de ransomware. En el sitio web de la filtración correspondiente aún no figura el hospital como víctima, por lo que no está claro si se trataba de una filial o incluso de otro grupo.
Independientemente de los detalles exactos de la infección, está claro que las organizaciones de todos los sectores necesitan tener un plan de continuidad de negocio que funcione, que pueda mantener los servicios básicos en funcionamiento durante un incidente. Una ciberprotección sofisticada que utilice IA/ML y análisis de comportamiento puede ayudar a detectar anomalías en la red e impedir que los ataques comprometan toda la red. Además, los sistemas de visibilidad, confianza cero y prevención de pérdida de datos pueden minimizar el riesgo de exfiltración de datos. Además, contar con soluciones de restauración de copias de seguridad y recuperación ante desastres mantendrá los datos accesibles y seguros en caso de cualquier ataque futuro.
Candid Wüest, vicepresidente de Investigación sobre Ciberprotección en Acronis