Por: Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft.
Las organizaciones sanitarias son un objetivo cada vez más atractivo para los actores de amenazas. En un nuevo informe de Microsoft Threat Intelligence, US healthcare at risk: strengthening resiliency against ransomware attacks, nuestros investigadores identificaron que el ransomware se mantiene como una de las ciberamenazas más comunes e impactantes dirigidas a las organizaciones. El informe ofrece una visión holística del panorama de las amenazas al sector salud, con especial atención a los ataques de ransomware observados en los últimos años. Al leer el informe, las organizaciones de atención médica obtendrán información que ayudará a navegar estas amenazas cibernéticas y comprender cómo las estrategias de defensa colectiva pueden ayudar a mejorar la protección y aumentar el acceso a la inteligencia de amenazas relevante.
Lean el nuevo informe de Microsoft sobre las tendencias de seguridad en el sector salud
Antes de 2020, había una regla tácita de los actores de amenazas de no lanzar ataques contra escuelas y niños, infraestructura y organizaciones de atención médica.1 Sin embargo, esa «regla» ya no se aplica, y en los últimos cuatro años el panorama de las amenazas al sector sanitario ha experimentado enormes cambios para peor.
Para poner este cambio en contexto, consideren estas tendencias del informe de inteligencia sobre amenazas de Microsoft que muestra los desafíos de la ciberseguridad en el sector de la salud:
- La atención médica es una de las 10 industrias más atacadas en el segundo trimestre de 20242, y lo ha sido durante los últimos cuatro trimestres.
- Los ataques de ransomware son costosos, y las organizaciones sanitarias pierden una media de 900.000 dólares al día sólo en el tiempo de inactividad.3
- En un estudio reciente, de las 99 organizaciones de atención médica que admitieron haber pagado un rescate y revelaron el rescate pagado, el pago promedio fue de $4.4 millones.4
El grave impacto del ransomware en el sector salud
Si bien el riesgo financiero potencial para las organizaciones de atención médica es alto, hay vidas en juego porque los ataques de ransomware afectan los resultados de los pacientes. Si los proveedores de atención médica no pueden usar el equipo de diagnóstico o acceder a los registros médicos de los pacientes porque están bajo rescate, la atención se interrumpirá.
Los centros de salud ubicados cerca de hospitales que se ven afectados por el ransomware también se ven afectados porque experimentan un aumento de pacientes que necesitan atención y no pueden atenderlos de manera urgente. Como resultado, los pacientes pueden experimentar tiempos de espera más largos, lo que, según los estudios, podría conducir a casos más graves de accidente cerebrovascular y ataque cardíaco.5
Estos ataques no solo afectan a las instalaciones de las grandes ciudades; de hecho, las clínicas de salud rurales también son objetivo de los ciberataques. Son en particular vulnerables a los incidentes de ransomware porque a menudo tienen medios limitados para prevenir y remediar los riesgos de seguridad. Esto puede ser devastador para una comunidad, ya que estos hospitales son a menudo la única opción de atención médica en muchas millas en las comunidades a las que sirven.
Por qué la atención médica es un objetivo atractivo para los actores de amenazas
Las organizaciones del sector salud recopilan y almacenan datos en extremo sensibles, lo que tal vez contribuya a que los actores de amenazas las vuelvan objetivo de ataques de ransomware. Sin embargo, una razón más importante por la que estas instalaciones están en riesgo es la posibilidad de enormes pagos financieros. Como se mencionó antes, hay vidas en juego y los centros de atención médica comprometidos con la atención al paciente no pueden arriesgarse a obtener malos resultados para los pacientes si sus sistemas se desmantelan. Tampoco pueden arriesgarse a que los datos de sus pacientes queden expuestos si no pagan el rescate. Esa reputación de pagar rescates, por razones comprensibles, los convierte en un objetivo.
Los centros sanitarios también están en el punto de mira debido a sus limitados recursos de seguridad y a sus inversiones en ciberseguridad para defenderse de estas amenazas en comparación con otros sectores. Las instalaciones a menudo carecen de personal dedicado a la ciberseguridad y, de hecho, algunas instalaciones no tienen un director de seguridad de la información (CISO, por sus siglas en inglés) o un centro de operaciones de seguridad dedicado. En su lugar, su departamento de TI puede tener la tarea de gestionar la ciberseguridad. Es posible que los médicos, las enfermeras y el personal sanitario no hayan recibido ninguna formación en ciberseguridad ni conozcan las señales que hay que buscar para identificar un correo electrónico de phishing.
Exploren las tendencias de seguridad en el sector salud en el nuevo informe de Microsoft
Cómo atacan los ciberdelincuentes a las organizaciones sanitarias
Los ciberdelincuentes con motivaciones financieras utilizan un conjunto cada vez más potente de tácticas de ransomware contra las organizaciones sanitarias. Un enfoque común implica dos pasos. En primer lugar, obtienen acceso a la red de una organización, a menudo por medio tácticas de ingeniería social a través de un correo electrónico o mensaje de texto de phishing. Luego, utilizan ese acceso para desplegar ransomware para cifrar y bloquear los sistemas y datos sanitarios y así poder pedir un rescate por su liberación.
«Una vez que se despliega el ransomware, los atacantes por lo general se mueven con rapidez para cifrar sistemas y datos críticos, a menudo en cuestión de horas», dijo Jack Mott de Microsoft Threat Intelligence en el informe de ransomware de Microsoft. «Se dirigen a la infraestructura esencial, como los registros de los pacientes, los sistemas de diagnóstico e incluso las operaciones de facturación, para maximizar el impacto y la presión sobre las organizaciones sanitarias para que paguen el rescate».
Las tácticas de ingeniería social a menudo implican convencer al destinatario del correo electrónico para que actúe de maneras que por lo general no lo haría, como hacer clic en un enlace desconocido y usar las tácticas de urgencia, emoción y hábito. El fraude de ingeniería social es un problema grave. Solo en este año fiscal, la asombrosa cantidad de 389 instituciones de atención médica en los Estados Unidos fueron víctimas de ataques de ransomware, según el Informe de Defensa Digital de Microsoft 2024.6 Las secuelas fueron graves, lo que resultó en cierres de redes, sistemas fuera de línea, retrasos en operaciones médicas críticas y citas reprogramadas.
Otro enfoque común es el ransomware como servicio (RaaS), un modelo de negocio de ciberdelincuencia que ha comenzado a ganar popularidad. El modelo RaaS es un acuerdo entre un operador, que desarrolla herramientas de extorsión, y un afiliado, que despliega el ransomware. Ambas partes se benefician de un exitoso ataque de ransomware y extorsión, y ha «democratizado el acceso a sofisticadas herramientas de ransomware», dijo Mott. Este modelo permite a los ciberdelincuentes sin los medios para desarrollar sus propias herramientas lanzar sus actividades nefastas. A veces, tan solo pueden comprar acceso a la red de un grupo de ciberdelincuentes que ya ha violado una red. RaaS amplía de manera importante el riesgo para las organizaciones sanitarias, lo que hace que el ransomware sea más accesible y frecuente.
Las tácticas de ciberdelincuencia siguen con su crecimiento en sofisticación. Microsoft realiza un seguimiento continuo de las últimas amenazas de ciberdelincuencia para apoyar a nuestros clientes y aumentar el conocimiento de toda la comunidad global. Estas amenazas incluyen acciones de los grupos de actores de amenazas Vanilla Tempest y Sangria Tempest, que son conocidos por sus actividades delictivas motivadas a nivel financiero.
La atención médica de EE. UU. está en riesgo: lean el informe
Adoptar un enfoque de defensa colectiva para aumentar su resiliencia y visibilidad cibernéticas
Reconocemos que no todas las organizaciones tienen un equipo de ciberseguridad sólido o incluso los recursos para habilitar una estrategia de resiliencia de ciberseguridad. Por eso es importante que nosotros, como comunidad, nos reunamos y compartamos las mejores prácticas, herramientas y orientación. Alentamos a su organización a colaborar con organizaciones de atención médica regionales, nacionales y globales, como Health-ISAC (Centros de Análisis e Intercambio de Información). Health-ISAC proporciona a las organizaciones sanitarias plataformas para intercambiar información sobre amenazas. El director de seguridad de Health-ISAC, Errol Weiss, dice que estas organizaciones son como «programas virtuales de vigilancia vecinal», que comparten experiencias de amenazas y estrategias de defensa.
También es importante fomentar una mentalidad que priorice la seguridad entre el personal sanitario. El Dr. Christian Dameff y el Dr. Jeff Tully, codirectores del Centro de Ciberseguridad de la Atención Médica de la Universidad de California en San Diego, enfatizan que es clave romper los silos entre los equipos de seguridad de TI, los gerentes de emergencias y el personal clínico para desarrollar planes de respuesta a incidentes cohesivos. También recomiendan ejecutar simulaciones clínicas de alta fidelidad que expongan a médicos y enfermeras a escenarios de ciberataques del mundo real.
Para los hospitales rurales que brindan servicios críticos a las comunidades a las que sirven en los EE. UU., Microsoft creó el Programa de ciberseguridad de Microsoft para hospitales rurales, que proporciona acceso asequible a las soluciones de seguridad de Microsoft, crea capacidad de ciberseguridad y ayuda a resolver los desafíos fundamentales a través de la innovación.
Para las organizaciones de atención médica que cuentan con los recursos, como parte de este informe, proporcionamos orientación sobre cómo:
- Establecer un marco de gobernanza sólido.
- Crear un plan de detección y respuesta a incidentes. Luego, estar preparados para ejecutarlo de manera eficiente durante un ataque real para minimizar el daño y garantizar una recuperación rápida.
- Implementar capacidades de monitoreo continuo y detección en tiempo real.
- Educar a su organización por medio de nuestro kit #BeCyberSmart de educación y concienciación sobre ciberseguridad.
- Aprovechar las estrategias de resiliencia que se encuentran en el informe.
Dadas las graves amenazas cibernéticas contra las organizaciones de atención médica, es fundamental proteger sus activos al comprender la situación y tomar medidas para prevenirla. Para obtener más detalles sobre el panorama actual de las ciberamenazas sanitarias y las amenazas de ransomware, y para obtener una orientación más detallada sobre cómo aumentar la resiliencia, lean el informe «La atención sanitaria de EE. UU. en riesgo: Fortalecimiento de la resiliencia frente a los ataques de ransomware» y vean nuestro vídeo informativo de inteligencia sobre amenazas sanitarias, que se incluye en el informe. Para mantenerse al día sobre la información más reciente sobre inteligencia sobre amenazas y obtener orientación práctica para sus esfuerzos de seguridad, agreguen a Favoritos a Microsoft Security Insider.
Conozcan más
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Cómo proteger tus redes del ransomware, justice.gov.
2Panorama de amenazas: sector sanitario y de salud pública, abril de 2024. Inteligencia sobre amenazas de Microsoft.
3En promedio, las organizaciones de atención médica pierden $ 900,000 por día debido al tiempo de inactividad de los ataques de ransomware, Comparitech. 6 de marzo de 2024.
4Los ataques de ransomware en el sector sanitario siguen aumentando en número y gravedad, según The HIPAA Journal. Septiembre 2024.
5Ataque de ransomware asociado con interrupciones en los departamentos de emergencia adyacentes en los EE. UU., JAMA Network. 8 de mayo de 2023.