Los datos médicos, un botín cada vez más atractivo para 'hackers'

Los ataques cibernéticos a las organizaciones sanitarias han aumentado un 600 por ciento en los 10 últimos meses, lo que pone sobre la mesa un gran reto para garantizar la seguridad de la información tanto de las empresas como de los usuarios de los diferentes servicios de salud, según quedó de manifiesto en la jornada Novedades tecnológicas aplicadas a la sanidad: evolución o disrupción, organizada por la Asociación Catalana de Entidades de Salud (ACES).

En la mesa Riesgos cibernéticos en un mundo abierto: los ataques invisibles y visibles, moderada por Rafael Manchón, subdirector general de la empresa Confide, de gestión de riesgos para organizaciones sanitarias, se citó un reciente ataque informático en el que se robaron los expedientes clínicos de más de 4 millones y medio de pacientes de diferentes ciudades de Estados Unidos.

Los datos médicos son un botín cada vez más cotizado para los ciberdelincuentes o hackers, ya que su valor sigue una tendencia a la alza. Actualmente, una tarjeta de crédito robada cuesta un dólar en el mercado negro, mientras que una historia clínica se puede vender por más de diez, según detalló Lluís García, director general de la empresa Mnemo, una multinacional del sector de las comunicaciones y la seguridad tecnológica.

Durante su ponencia, comentó que actualmente es posible comprar programas para robar información por medio de internet. De hecho, refirió que es una práctica que podría explicar por qué se filtra información sobre el estado de salud de algunos personajes públicos y aparece en la prensa rosa. Algo similar ocurre con otros documentos confidenciales, como fotos privadas o datos íntimos, que se obtienen en muchas ocasiones por medio de este tipo de métodos.

Factor humano
A su juicio, cuánto más pequeña es una organización, más vulnerable resulta. Las grandes empresas e instituciones suelen tener sistemas de seguridad más robustos. Pero el factor más importante, sin duda, es el humano, "muchas veces nos preocupamos mucho de tener el mejor sistema de seguridad, pero nos olvidamos que detrás de ellos, hay personas".

En concreto, señaló que detrás del 90 por ciento de los problemas de seguridad de las organizaciones o empresas tienen que ver con alguien "de dentro" que filtra información o facilita el acceso. En algunos casos se puede tratar de errores, pero en gran parte de las ocasiones se trata de algo intencional. Esto pone de relieve lo peligroso que resulta tener a un empleado enfadado, en palabras de García.

Damian Rivera, gerente de Seguridad de Mnemo, explicó que hasta el año 2010, las amenazas clásicas de seguridad, ya sea en forma de virus o programas maliciosos, eran relativamente simples. Fue hacia el año 2011 cuando ocurrió un cambio radical en el paradigma de seguridad. El caso más famoso es el del gusano informático Stuxnet que es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados, que atacó decenas de miles de ordenadores de grandes empresas y organizaciones con intereses en Irán y Estados Unidos, principalmente.

Basta con insertar un lápiz de memoria o abrir un archivo adjunto en un correo para que un hacker pueda hacerse con el control total de un ordenador, burlando los sistemas corporativos de seguridad. Los programas maliciosos más complejos son capaces de pasar totalmente desapercibidos para los antivirus y no dejar rastro.

Fuga de datos, robo de identidad y denegación

Las amenazas informáticas actuales son mucho más sofisticadas que hace un par de años. De hecho, según los últimos datos de Mnemo, el 83 por ciento de los incidentes se detecta hasta 243 meses después del ataque. Las estrategias de los delincuentes digitales para acceder a sus víctimas son variadas, pero se suelen esconder en acciones tan inocentes como un documento PDF adjunto en un correo -que puede llegar de un remitente conocido de la víctima-, o insertar una memoria USB en el ordenador. El programa malicioso hace que sea el equipo de la propia víctima el que se pone en contacto con el atacante, sin saberlo, lo que burla los sistemas de seguridad. Los principales riesgos son fuga de información, suplantación de identidad y denegación del servicio, que es lo que le ocurrió a parte importante de las páginas de Generalitat de Cataluña el pasado 9 de noviembre. El ataque afectó, entre otras, a la web del servicio de receta electrónica y al sistema del Servicio de Emergencias Médicas (SEM).