Trace Id is missing

El sector sanitario de Estados Unidos, en peligro: Reforzar la resistencia frente a los ataques de ransomware

Compartir
Un grupo de profesionales médicos mirando una tableta

El sector sanitario se enfrenta a una gama cada vez mayor de ciberamenazas, entre las que destacan los ataques de ransomware. La combinación de valiosos datos de pacientes, dispositivos médicos interconectados y un personal de operaciones de TI/ciberseguridad reducido, que no dispone de muchos recursos, puede convertir a las organizaciones sanitarias en objetivos prioritarios para los actores de amenazas. A medida que las operaciones sanitarias se digitalizan cada vez más (desde los historiales clínicos electrónicos (HCE) hasta las plataformas de telemedicina y los dispositivos médicos conectados en red), la superficie de ataque de los hospitales es cada vez más compleja, lo que aumenta aún más su vulnerabilidad a los ataques.

Las siguientes secciones ofrecen una visión general del estado actual de la ciberseguridad en la sanidad, por ejemplo, la consideración del sector como uno de los principales objetivos, la mayor frecuencia de ataques de ransomware, y las graves consecuencias financieras y para la atención a los pacientes que suponen estas amenazas.

En un vídeo dirigido por Sherrod DeGrippo, director de estrategia de Inteligencia contra amenazas Microsoft, se analizan más en profundidad estas cuestiones críticas, y se ofrecen opiniones de expertos sobre los actores de las amenazas, las estrategias de recuperación y las vulnerabilidades de la asistencia sanitaria.

El informe de Inteligencia contra amenazas Microsoft: Asistencia sanitaria

Sherrod DeGrippo, director de estrategia de Inteligencia contra amenazas Microsoft, modera una interesante mesa redonda con expertos en inteligencia contra amenazas y seguridad sanitaria que examinan qué hace que este sector sea especialmente susceptible a ataques de ransomware, qué tácticas están utilizando los grupos de actores de amenazas, cómo ser resilientes, etc.
  • Según la Inteligencia contra amenazas Microsoft, el sector de la sanidad pública y privada fue uno de los 10 sectores más afectados en el segundo trimestre de 2024.1
  • El Ransomware como servicio (RaaS) reduce los obstáculos para los atacantes que carecen de experiencia técnica, mientras que Rusia representa un puerto seguro para los grupos de ransomware. Como resultado, los ataques de ransomware han aumentado en un 300 % desde 2015.2
  • Este año fiscal, 389 centros sanitarios estadounidenses se han visto afectados por ransomware, con cortes de red, sistemas fuera de línea, retrasos en intervenciones médicas críticas y reprogramación de citas.3. Los ataques son costosos, por ejemplo, un informe del sector muestra que las organizaciones sanitarias pierden hasta 900 000 USD/día solo en tiempo de inactividad.4
  • De las 99 organizaciones sanitarias que admitieron haber pagado el rescate y que revelaron su importe, la mediana de pago fue de 1,5 millones de USD y el promedio de 4,4 millones de USD.5

Grave impacto en la atención al paciente

La disrupción de las operaciones sanitarias debida a un ataque de ransomware puede afectar gravemente al correcto tratamiento de los pacientes, no solo en los hospitales afectados, sino también en los de las zonas cercanas, que deben absorber el volumen desplazado de pacientes de urgencias.6

Los resultados de un estudio reciente muestran cómo un ataque de ransomware contra cuatro hospitales (dos atacados y dos no afectados) provocó un aumento del volumen de pacientes en urgencias, tiempos de espera más largos y una presión adicional sobre los recursos, especialmente en la atención urgente como el tratamiento de ictus, en los dos hospitales vecinos no afectados.7
Aumento de los casos de ictus: El ataque de ransomware sometió a una gran presión al ecosistema sanitario en general, ya que los hospitales no afectados tuvieron que absorber pacientes de los afectados. Las activaciones de código de ictus en los hospitales cercanos casi se duplicaron, de 59 a 103, mientras que los ictus confirmados aumentaron en un 113,6 %, pasando de 22 a 47 casos.
Aumento de los paros cardiacos: El ataque puso a prueba al sistema sanitario, ya que los casos de paros cardiacos en el hospital no afectado aumentaron de 21 a 38, un aumento del 81 %. Esto refleja el impacto en cascada del ataque en un centro, que obligó a los hospitales cercanos a manejar más casos críticos.
Disminución de la supervivencia con resultados neurológicos positivos: La tasa de supervivencia de los paros cardiacos fuera del hospital con resultados neurológicos positivos disminuyó drásticamente para los hospitales no afectados durante el ataque, cayendo de un 40 % antes del ataque a un 4,5 % durante el ataque.
Aumento de llegadas de ambulancias: Durante el ataque, se produjo un aumento del 35,2 % en las llegadas de los servicios de urgencia a los hospitales “no afectados”, lo que sugiere un desvío significativo del tráfico de las ambulancias debido a la disrupción introducida por el ransomware en los hospitales afectados.
Aumento del volumen de pacientes: Como el ataque afectó a cuatro hospitales de la zona (dos atacados y dos no afectados), los servicios de urgencias de los hospitales no afectados experimentaron una importante afluencia de pacientes. El volumen diario de pacientes en estos hospitales no afectados aumentó un 15,1 % durante el ataque, en comparación con la fase anterior.
Otras interrupciones de la atención sanitaria: Durante los ataques, los hospitales no afectados observaron un aumento notable de los pacientes que se marchaban sin ser atendidos, los tiempos en la sala de espera y la duración de los ingresos de los pacientes admitidos. Por ejemplo, el tiempo medio en la sala es espera aumentó de 21 minutos antes del ataque a 31 durante el mismo.

Casos prácticos de ransomware

Los ataques de ransomware en la asistencia sanitaria pueden tener consecuencias devastadoras, no solo para las organizaciones que los sufren, sino también para la atención al paciente y la estabilidad de las operaciones. Los siguientes casos prácticos ilustran los efectos a largo plazo del ransomware en diferentes tipos de organizaciones sanitarias, desde grandes sistemas hospitalarios a pequeños proveedores rurales, y muestran las distintas formas en que los atacantes se infiltran en las redes y las disrupciones resultantes en los servicios sanitarios básicos.
  • Los atacantes han utilizado credenciales comprometidas para acceder a la red a través de una puerta de enlace de acceso remoto vulnerable sin autenticación multifactor. Han cifrado la infraestructura crítica y han exfiltrado datos confidenciales en un esquema de doble extorsión, amenazando con publicarlos a menos que se pague un rescate.

    Impacto:     El ataque ha provocado disrupciones y ha impedido que el 80 % de las farmacias y proveedores sanitarios puedan verificar los seguros o procesar las reclamaciones. 
  • Los atacantes han explotado una vulnerabilidad en el software heredado sin revisiones del hospital y se han desplazado lateralmente para atacar las citas de los pacientes y los historiales médicos. Utilizando una táctica de doble extorsión, han exfiltrado datos confidenciales y han amenazado con publicarlos a menos que se pague un rescate.

    Impacto: El ataque ha interrumpido operaciones, lo que ha provocado la cancelación de citas, retrasos en cirugía y un cambio a procesos manuales, con la consiguiente sobrecarga para el personal y retrasos en la atención. 
  • Los atacantes han utilizado correos electrónicos de suplantación de identidad para acceder a la red del hospital, y han explotado vulnerabilidades sin revisiones para implementar ransomware y cifrar los HCE y los sistemas de atención a pacientes. Con una táctica de doble extorsión, han exfiltrado datos financieros y confidenciales de los pacientes, y han amenazado con filtrarlos si no se paga el rescate. 

    Impacto:     El ataque interrumpió cuatro hospitales y más de 30 clínicas, con los consiguientes retrasos en los tratamientos, la desviación de pacientes de emergencias y la preocupación por la exposición de datos. 
  • En febrero de 2021, un ataque de ransomware paralizó los sistemas informáticos de un hospital rural con 44 camas, obligando a realizar operaciones manuales durante tres meses y retrasando gravemente las reclamaciones de seguros.

    Impacto:     La incapacidad del hospital para cobrar a tiempo provocó problemas financieros, dejando a la comunidad rural local sin servicios sanitarios básicos. 

El sector sanitario norteamericano es un objetivo atractivo para ciberdelincuentes con motivaciones económicas debido a su amplia superficie expuesta a ataques, sus sistemas heredados y unos protocolos de seguridad incoherentes. La combinación de la dependencia de la sanidad de la tecnología digital, sus datos confidenciales y los recursos limitados a los que se enfrentan muchas organizaciones (a menudo debido a márgenes muy estrechos) puede limitar su capacidad para invertir plenamente en ciberseguridad, haciéndolas especialmente vulnerables. Adicionalmente, las organizaciones sanitarias priorizan la atención al paciente a toda costa, lo que significa que pueden estar dispuestas a pagar rescates para evitar disrupciones.

Una reputación de pagar rescates

Parte del motivo por el que el ransomware se ha convertido en un problema tan acuciante para la sanidad son los antecedentes del sector en el pago de rescates. Las organizaciones sanitarias priorizan la atención al paciente sobre todo lo demás y, si deben pagar millones de dólares para evitar interrupciones del servicio, a menudo las pagan.

De hecho,de acuerdo con un reciente informe basado en una encuesta de 402 organizaciones sanitarias, el 67 % habían experimentado un ataque de ransomware en el último año. Entre ellas, el 53 % admitieron haber pagado rescates en 2024, una subida respecto al 42 % de 2023. El informe también destaca el impacto financiero, con un promedio de pagos de rescates admitidos que asciende a 4,4 millones de USD.12

Inversión y recursos de seguridad limitados

Otro reto importante son los recursos y presupuestos limitados para ciberseguridad en todo el sector sanitario. De acuerdo con el reciente informe Healthcare Cybersecurity Needs a Check-Up13 de CSC 2.0 (un grupo que continúa la labor de la Cyberspace Solarium Commission, creada por mandato del Congreso), "como los presupuestos son ajustados y los proveedores deben priorizar el gasto en servicios básicos para los pacientes, la ciberseguridad se ha visto a menudo insuficientemente financiada, dejando a las organizaciones sanitarias más vulnerables a los ataques."

Además, a pesar de la gravedad del problema, los proveedores sanitarios no están invirtiendo suficiente dinero en ciberseguridad. Debido a múltiples factores complejos, incluido un modelo de pago indirecto que a menudo prioriza las necesidades clínicas inmediatas frente a inversiones menos visibles como la ciberseguridad, la ciberseguridad no ha recibido nunca una financiación suficiente en las últimas dos décadas.10

Asimismo, debido a la Ley de transferencia y responsabilidad de seguros de salud (HIPAA), se ha dado prioridad a las inversiones en confidencialidad de los datos, dejando la integridad y la disponibilidad de los mismos en segundo plano. Este enfoque puede dar como resultado una menor dedicación a la resiliencia de la organización, especialmente en la reducción de Objetivos de tiempo de recuperación (RTO) y los Objetivos de punto de recuperación (RPO).

Vulnerabilidades de infraestructuras y sistemas heredados

Un resultado de la escasa inversión en ciberseguridad es la dependencia de sistemas heredados anticuados y difíciles de actualizar, que son los objetivos prioritarios para la explotación. Asimismo, el uso de tecnologías diferentes crea una infraestructura a parches con lagunas de seguridad, lo que aumenta el riesgo de ataques.

Esta infraestructura vulnerable se complica aún más debido a la reciente tendencia del sector sanitario hacia la concentración. Las fusiones de hospitales, que van en aumento (un 23 % más que en 2022 y con los niveles más altos desde 202014), crean organizaciones con infraestructuras complejas repartidas en distintas ubicaciones. Sin una inversión suficiente en ciberseguridad, estas infraestructuras son muy vulnerables a los ataques.

Expansión de la superficie expuesta a ataques

Mientras que las redes de atención integradas clínicamente de tecnologías médicas y dispositivos conectados ayudan a mejorar los resultados de los pacientes y salvan vidas, también han ampliado la superficie expuesta a ataques digital, algo que los actores de amenazas están explotando cada vez más.

Los hospitales están más online que nunca y conectan en red dispositivos médicos críticos como escáneres de tomografía computarizada, sistemas para monitorizar pacientes y bombas de infusión, aunque no siempre tienen el nivel de visibilidad necesario para identificar y mitigar vulnerabilidades que pueden afectar gravemente a la atención al paciente.

Los médicos Christian Dameff y Jeff Tully, codirectores y cofundadores del Centro de ciberseguridad en el sector sanitario de la University of California San Diego, señalan que, de media, el 70 % de los puntos de conexión de un hospital no son ordenadores, sino dispositivos.   
Una sala de hospital con equipamiento médico, una pizarra blanca y una cortina azul.

Las organizaciones sanitarias también transmiten cantidades ingentes de datos. De acuerdo con la Oficina del Coordinador Nacional de Informática Sanitaria, más del 88 % de los hospitales envían y obtienen electrónicamente información sanitaria de los pacientes y más del 60 % integran esos datos en sus historiales clínicos electrónicos (HCE).15

Los proveedores rurales pequeños se enfrentan a retos exclusivos

Los hospitales rurales de difícil acceso son especialmente vulnerables a los incidentes de ransomware, ya que suelen disponer de medios limitados para prevenir y remediar los riesgos de seguridad. El resultado puede ser muy grave para la población, ya que estos hospitales a menudo son la única opción sanitaria en muchos kilómetros a la redonda de las comunidades a las que prestan servicio.

De acuerdo con Dameff y Tully, los hospitales rurales normalmente carecen del mismo nivel de experiencia o infraestructura de ciberseguridad que sus homólogos urbanos de mayor tamaño. También explican que muchos de los planes de continuidad empresarial de estos hospitales pueden quedar obsoletos o ser inadecuados para abordar ciberamenazas modernas como el ransomware.

Muchos hospitales pequeños o rurales se enfrentan a restricciones importantes de presupuesto y operan con márgenes de beneficio muy pequeños. Esta realidad financiera hace que sea difícil para ellos invertir en sólidas medidas de ciberseguridad. A menudo, estos centros se basan en un único especialista de TI, alguien que domina los problemas técnicos diarios, pero que carece de conocimientos especializados en ciberseguridad.

Un informe del Grupo de trabajo sobre ciberseguridad en el sector sanitario del Departamento de Salud y Servicios Humanos, creado como parte de la Ley de Ciberseguridad de 2015, destaca que una gran proporción de los hospitales rurales de difícil acceso carecen de una contratación a tiempo completo dedicada a la ciberseguridad, lo que demuestra los desafíos de recursos más amplios a los que se enfrentan los proveedores sanitarios más pequeños.

“Estos especialistas en TI, a menudo simplemente alguien que domina la gestión de sistemas y redes, se encargan de cuestiones como ‘No puedo imprimir, no puedo iniciar sesión, ¿cuál es mi contraseña?’”, explica Dameff. “No son expertos en ciberseguridad. No tienen el personal, carecen del presupuesto y además no sabrían por dónde empezar”.

Un proceso típico de ataque de un ciberdelincuente incluye dos pasos: obtener acceso inicial a la red, a menudo mediante suplantación de identidad o explotación de vulnerabilidades, seguido de la implementación del ransomware para cifrar sistemas y datos críticos. La evolución de estas tácticas, incluidos el uso de herramientas legítimas y la proliferación de RaaS, ha permitido que los ataques sean más accesibles y frecuentes.

La fase inicial de un ataque de ransomware: Obtener acceso a la red sanitaria

Jack Mott, que anteriormente dirigió un equipo dedicado a la inteligencia sobre amenazas de correo electrónico empresarial y la ingeniería de detección en Microsoft, explica que "El correo electrónico sigue siendo uno de los mayores vectores para la introducción de malware y ataques de phishing en los ataques de ransomware”.16

En un estudio de Inteligencia contra amenazas Microsoft de 13 hospitales que analizan distintas operaciones, incluidos los hospitales rurales, el 93 % de la ciberactividad delictiva observada estaba relacionada con campañas de suplantación de identidad y ransomware, y la mayor parte de la actividad estaba representada por amenazas que utilizan el correo electrónico.17
"El correo electrónico continúa siendo uno de los mayores vectores para introducir malware y ataques de suplantación de identidad en los ataques de ransomware."
Jack Mott 
Inteligencia contra amenazas Microsoft

Las campañas dirigidas a las organizaciones sanitarias a menudo utilizan señuelos muy específicos. Por ejemplo, Mott destaca cómo los actores de amenazas redactan correos electrónicos con jerga específica de la atención sanitaria, como referencias a informes de autopsias, para aumentar su credibilidad y engañar a los profesionales sanitarios. 

Este tipo de tácticas de ingeniería social, especialmente en entornos sometidos a gran presión como la atención sanitaria, explotan la urgencia que sienten a menudo los trabajadores sanitarios, lo que puede dar lugar a fallos de seguridad. 

Mott también señala que los atacantes utilizan unos métodos cada vez más sofisticados, como "nombres reales, servicios legítimos y herramientas que se utilizan normalmente en los departamentos de TI (por ejemplo, herramientas de gestión remota)" para eludir la detección. Estas tácticas hacen que sea muy difícil para los sistemas de seguridad diferenciar entre actividades malintencionadas y legítimas. 

Los datos de Inteligencia contra amenazas Microsoft también muestran que los atacantes a menudo explotan vulnerabilidades conocidas en el software de la organización o sistemas que se han identificado en el pasado. Estas vulnerabilidades y exposiciones comunes (CVE) están bien documentadas, disponen de revisiones o correcciones, y los atacantes suelen centrarse en ellas porque saben que muchas organizaciones aún no han abordado estos puntos débiles.18 

Después de obtener el acceso inicial, los atacantes a menudo realizan un reconocimiento de la red, que se puede identificar gracias a indicadores como actividades inusuales de exploración. Estas acciones ayudan a los actores de amenazas a hacer un mapa de la red, identificar los sistemas críticos y prepararse para la siguiente fase del ataque: la implementación de ransomware.

La fase final de un ataque de ransomware: Implementación de ransomware para cifrar los sistemas críticos

Una vez obtenido el acceso inicial, normalmente a través de suplantación de identidad o malware introducido por correo electrónico, los actores de amenazas pasan a la segunda fase: la implementación del ransomware.

Jack Mott explica que el aumento de modelos RaaS ha contribuido significativamente a la mayor frecuencia de ataques de ransomware en el sector sanitario. "Las plataformas RaaS han democratizado el acceso a sofisticadas herramientas de ransomware, de forma que incluso aquellos con mínimos conocimientos técnicos pueden lanzar ataques altamente efectivos," explica Mott. Este modelo reduce los obstáculos para los atacantes y permite que los ataques de ransomware sean más accesibles y eficaces.
"Las plataformas RaaS han democratizado el acceso a sofisticadas herramientas de ransomware, de forma que incluso aquellos con mínimos conocimientos técnicos pueden lanzar ataques altamente efectivos”. 
Jack Mott 
Inteligencia contra amenazas Microsoft

Mott explica más detalladamente cómo funciona RaaS: "Estas plataformas a menudo incluyen un conjunto completo de herramientas, por ejemplo, software de cifrado, procesamiento de pagos e incluso un servicio de atención al cliente para negociar los pagos de rescates. Este enfoque llave en mano aumenta el número de actores de amenazas que pueden ejecutar campañas de ransomware, lo que aumenta a su vez el número y la gravedad de los ataques."

Asimismo, Mott destaca la naturaleza coordinada de estos ataques: "Una vez implementado el ransomware, los atacantes suelen actuar rápidamente para cifrar los datos y sistemas críticos, a menudo en cuestión de horas. Atacan infraestructuras básicas como historiales de pacientes, sistemas de diagnóstico e incluso operaciones de facturación, para maximizar así el impacto y la presión en las organizaciones sanitarias para que paguen el rescate."

Ataques de ransomware en la atención sanitaria: Un perfil de los principales grupos de actores de amenazas

Los ataques de ransomware en el sector sanitario suelen provenir de grupos de actores de amenazas altamente especializados y organizados. Estos grupos, que incluyen a ciberdelincuentes con motivaciones económicas y a sofisticados actores de amenazas de estado nación, utilizan herramientas y estrategias avanzadas para infiltrarse en las redes, cifrar los datos y exigir rescates a las organizaciones.

Entre estos actores de amenazas, se encuentran hackers patrocinados por gobiernos de países autoritarios que han utilizado ransomware e incluso han colaborado con grupos de ransomware con fines de espionaje. Por ejemplo, se sospecha que los actores de amenazas del gobierno chino utilizan el ransomware cada vez más como tapadera para sus actividades de espionaje.19

Los actores de amenazas iraníes parece que son los más activos en ataques a organizaciones sanitarias en 2024.20 De hecho, en agosto de 2024, el gobierno de EE. UU. emitió una advertencia al sector sanitario sobre un actor de amenazas con sede en Irán llamado Lemon Sandstorm. Este grupo “aprovechaba el acceso a redes no autorizadas en organizaciones de EE. UU., incluidas las sanitarias, para facilitar y ejecutar futuros ataques de ransomware por parte de bandas de ransomware supuestamente afiliadas a Rusia y beneficiarse de ellos”.21

Los siguientes perfiles proporcionan información sobre algunos de los grupos de ransomware con motivaciones económicas más conocidos que atacan a organizaciones sanitarias, incluidos los métodos, las motivaciones y el impacto de sus actividades en el sector.
  • Lace Tempest es un grupo de ransomware prolífico que ataca a la sanidad. Utilizando un modelo RaaS, permite a sus afiliados implementar ransomware fácilmente. El grupo está relacionado con ataques de alto impacto en hospitales, donde cifran los datos de los pacientes y piden un rescate. Conocidos por utilizar una doble extorsión, no solo cifran los datos sino que también los exfiltran, amenazando con divulgar información confidencial si no se paga el rescate.
  • Sangria Tempest es conocido por sus ataques de ransomware avanzados en organizaciones sanitarias. Utilizando un cifrado muy sofisticado, es prácticamente imposible recuperar los datos sin pagar el rescate. También utilizan la doble extorsión, donde exfiltran datos de pacientes y amenazan con divulgarlos. Sus ataques provocan interrupciones operativas masivas, obligando a los hospitales a desviar sus recursos, lo que afecta negativamente a la atención al paciente.
  • Cadenza Tempest, conocido por sus ataques de denegación de servicios distribuida (DDoS), está cambiando cada vez más a operaciones de ransomware en el sector sanitario. Identificado como un grupo hacktivista prorruso, atacan a hospitales en regiones hostiles a los intereses rusos. Sus ataques colapsan los sistemas hospitalarios, interrumpen operaciones críticas y crean el caos, especialmente cuando se combinan con campañas de ransomware.
  • Activo desde julio de 2022, el grupo motivado económicamente Vanilla Tempest ha empezado recientemente a utilizar el ransomware INC suministrado a través de proveedores de RaaS para atacar al sector sanitario norteamericano. Explotan vulnerabilidades, utilizan scripts personalizados y aprovechan las herramientas de Windows estándar para robar credenciales, moverse lateralmente e implementar ransomware. El grupo también utiliza la doble extorsión y pide un rescate por desbloquear los sistemas y evitar la divulgación de datos robados.

Frente a unos ataques de ransomware cada vez más sofisticados, las organizaciones sanitarias deben adoptar un enfoque polifacético en la ciberseguridad. Deben prepararse para resistir, responder y recuperarse de ciberincidentes, manteniendo en todo momento la continuidad de la atención al paciente.

Las siguientes directrices proporcionan un marco exhaustivo para mejorar la resiliencia, garantizar una recuperación rápida, fomentar un personal que priorice la seguridad y promover la colaboración en el sector sanitario.

Gobernanza: Garantizar la preparación y la resiliencia

Un edificio con muchas ventanas bajo un cielo azul con nubes

Una gobernanza eficaz en la ciberseguridad sanitaria es fundamental para prepararse antes los ataques de ransomware y responder a ellos. Dameff y Tully del Centro de ciberseguridad en el sector sanitario de UC San Diego recomiendan establecer un marco de gobernanza sólido con roles claros, formación regular y colaboración multidisciplinar. Esto ayuda a las organizaciones sanitarias a mejorar su resiliencia frente a los ataques de ransomware y a garantizar la continuidad de la atención al paciente, incluso frente a disrupciones importantes.

Un aspecto clave de este marco implica acabar con las barreras entre el personal clínico, los equipos de seguridad de TI y los profesionales de gestión de emergencias para desarrollar planes cohesionados de respuesta a incidentes. Esta colaboración entre departamentos es fundamental para mantener la seguridad de los pacientes y la calidad asistencial cuando los sistemas tecnológicos se ven comprometidos.

Dameff y Tully también destacan la necesidad de disponer de un consejo o un órgano de gobierno que se reúna periódicamente para revisar y actualizar los planes de respuesta a incidentes. Recomiendan permitir a estos órganos de gobierno probar los planes de respuesta con simulacros y entrenamientos realistas, para garantizar que todo el personal, incluidos los profesionales clínicos más jóvenes que no están tan familiarizados con los registros en papel, estén preparados para operar eficazmente sin herramientas digitales.

Asimismo, Dameff y Tully destacan la importancia de la colaboración externa. Defienden la creación de marcos nacionales y regionales que permitan a los hospitales ayudarse mutuamente durante incidentes a gran escala, e insisten en la necesidad de un "reserva estratégica nacional" de tecnología que pueda sustituir temporalmente a los sistemas en peligro.

Resiliencia y respuestas estratégicas

La resiliencia en la ciberseguridad sanitaria va más allá de la mera protección de los datos: implica garantizar que sistemas completos puedan resistir a ataques y recuperarse de ellos. Es fundamental adoptar un enfoque integral de la resiliencia, centrado no solo en proteger los datos de los pacientes, sino también en reforzar la infraestructura global que se utiliza en las operaciones sanitarias. Esto incluye todo el sistema: redes, cadenas de suministro, productos sanitarios, etc.

Adoptar una estrategia de defensa en profundidad es fundamental para crear una posición de seguridad por cadas que pueda impedir con eficacia los ataques de ransomware.

Adoptar una estrategia de defensa en profundidad es fundamental para crear una posición de seguridad por cadas que pueda impedir con eficacia los ataques de ransomware. Esta estrategia implica proteger todas las capas de la infraestructura sanitaria, desde la red hasta los puntos de conexión y la nube. Al garantizar la aplicación de varias capas de defensa, las organizaciones sanitarias pueden reducir el riesgo de un ataque de ransomware de éxito.

Como parte de este enfoque en capas para los clientes de Microsoft, los equipos de Inteligencia contra amenazas Microsoft supervisan de manera activa el comportamiento de los atacantes. Cuando se detecta este tipo de actividad, se proporciona una notificación directa.

Esto no es un servicio de pago o por niveles: las empresas de todos los tamaños reciben la misma atención. El objetivo es proporcionar rápidamente una alerta cuando se detectan ataques potenciales, por ejemplo, de ransomware, y ayudarles a dar los pasos necesarios para proteger a la organización.

Además de implementar estas capas de defensa, es fundamental tener un plan de detección y respuesta a incidentes eficaz. No obstante, tener un plan no es suficiente y las organizaciones sanitarias deben estar preparadas para ejecutarlo de manera eficaz durante un ataque real para minimizar los daños y garantizar una rápida recuperación.

Por último, las prestaciones de detección en tiempo real y supervisión continua son componentes básicos de una infraestructura sólida de respuesta a incidentes, para garantizar que las amenazas potenciales puedan identificarse y abordarse rápidamente.

Para obtener más información sobre la ciberresiliencia en la sanidad, el Departamento de Salud y Servicios Humanos (HHS) publicó unos Objetivos de rendimiento en ciberseguridad (CPG) voluntarios específicos del sector para ayudar a las organizaciones sanitarias a priorizar la implementación de prácticas de ciberseguridad de alto impacto.

Creados mediante un proceso de asociación pública/privada de colaboración, utilizando marcos de ciberseguridad comunes del sector, directrices, procedimientos recomendados y estrategias, los CPG componen un subconjunto de prácticas de ciberseguridad que las organizaciones sanitarias pueden utilizar para fortalecer la ciberpreparación, mejorar la ciberresiliencia, y proteger la seguridad y la información sanitaria de los pacientes.

Pasos para restaurar rápidamente el funcionamiento y fortalecer la seguridad después del ataque

La recuperación de un ataque de ransomware requiere un enfoque sistemático para garantizar una rápida vuelta al funcionamiento normal, a la vez que se previenen futuros incidentes. A continuación, se muestran varios pasos accionables para evaluar los daños, restaurar los sistemas afectados y reforzar las medidas de seguridad. Siguiendo estas directrices, las organizaciones sanitarias pueden mitigar el impacto de un ataque y fortalecer sus defensas contra amenazas en el futuro.
Evaluar el impacto y contener el ataque

Aísla inmediatamente los sistemas afectados para evitar una mayor propagación.
Restaurar las operaciones a partir de copias de seguridad en buen estado

Asegúrate de que haya disponibles copias de seguridad limpias y verificadas antes de restaurar las operaciones. Mantén copias de seguridad fuera de línea para evitar el cifrado de ransomware.
Reconstruir los sistemas

Considera la posibilidad de reconstruir los sistemas comprometidos en lugar de aplicar revisiones, para eliminar así cualquier malware persistente. Utiliza las recomendaciones del equipo de Respuesta a incidentes Microsoft para reconstruir los sistemas de forma segura. 
Reforzar los controles de seguridad después del ataque

Para fortalecer la posición de seguridad después del ataque, aborda las vulnerabilidades, aplica revisiones de los sistemas y mejora las herramientas de detección de puntos de conexión.
Realizar una revisión después del incidente

Trabaja con un proveedor de seguridad externo, analiza el ataque para identificar los puntos débiles y mejora las defensas frente a futuros incidentes.

Formar recursos que den prioridad a la seguridad

Un hombre y una mujer mirando la cara de una mujer.

La creación de recursos que den prioridad a la seguridad requiere una colaboración continua multidisciplinar.

La creación de recursos que den prioridad a la seguridad requiere una colaboración continua multidisciplinar. Es importante eliminar las barreras entre los equipos de seguridad de TI, los gestores de emergencias y el personal clínico para desarrollar planes de respuesta a incidentes coherentes. Sin esta colaboración, el resto del hospital no estará adecuadamente preparado para responder de manera eficaz durante un ciberincidente.

Educación y concienciación

Una formación eficaz y una sólida cultura de informes son componentes fundamentales de la defensa de una organización sanitaria contra el ransomware. Como los profesionales sanitarios suelen dar prioridad a la atención al paciente, es posible que no siempre presten tanta atención a la ciberseguridad, lo que puede hacerlos más susceptibles a las ciberamenazas.

Para corregirlo, la formación continua debe incluir los aspectos básicos de la ciberseguridad, por ejemplo, detectar correos electrónicos de suplantación de identidad, evitar hacer clic en vínculos sospechosos y reconocer las tácticas de ingeniería social más comunes.

Los recursos de Concienciación sobre ciberseguridad de Microsoft pueden ser muy útiles.

"Animar al personal a notificar problemas de seguridad sin miedo a inculparse es clave," explica Mott de Microsoft. "Cuanto antes se pueda notificar un incidente, mejor. Que sea benigno es el mejor de los casos."

Los simulacros y los entrenamientos también deben imitar los ataques del mundo real como, por ejemplo, la suplantación de identidad o el ransomware, para ayudar al personal a practicar su respuesta en un entorno controlado.

Compartición de la información, colaboración y defensa colectiva

Como los ataques de ransomware están aumentando generalmente de frecuencia (Microsoft observa un aumento de 2,75 anual entre nuestros clientes16), es fundamental tener una estrategia de defensa colectiva. La colaboración (entre equipos internos, socios regionales y redes globales/nacionales más amplias) es fundamental para proteger las operaciones sanitarias y la seguridad de los pacientes.

Reunir estos grupos para diseñar e implementar planes de respuesta a incidentes integrales puede evitar el caos de las operaciones durante los ataques.

Dameff y Tully subrayan la importancia de unir a los equipos internos, por ejemplo, doctores, gestores de emergencias y personal de seguridad de TI, que a menudo trabajan de manera aislada. Reunir estos grupos para diseñar e implementar planes de respuesta a incidentes integrales puede evitar el caos de las operaciones durante los ataques.

A nivel regional, las organizaciones sanitarias deben crear asociaciones para que los centros sanitarios puedan compartir capacidad y recursos, para garantizar que continúe la atención al paciente aunque algunos hospitales estén afectados por el ransomware. Esta forma de defensa colectiva también puede ayudar a gestionar el exceso de afluencia de pacientes y distribuir la carga entre los proveedores de atención médica.

Más allá de la colaboración regional, las redes de compartición de información nacionales y globales son fundamentales. Los ISAC (Centros de análisis y compartición de la información) como Health-ISAC sirven como plataformas para que las organizaciones sanitarias puedan intercambiar inteligencia sobre amenazas vital. Errol Weiss, director de seguridad en Health-ISAC, compara estas organizaciones con los "programas virtuales de vigilancia vecinal," donde los miembros de las organizaciones pueden compartir rápidamente detalles sobre los ataques y técnicas de mitigación probadas. Este uso compartido de información ayuda a los demás a prepararse o eliminar amenazas similares, para fortalecer la defensa colectiva a gran escala.

  1. [1]
    Datos internos de Inteligencia sobre amenazas Microsoft, T2, 2024
  2. [2]
    (Resumen ejecutivo para CISO: El panorama de ciberamenazas para la sanidad actual y emergente; Health-ISAC y la American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPCIÓN: Audiencia ante la Cámara de Representantes para evaluar las carencias de ciberseguridad de Microsoft”,  Tech Policy Press, 15 de junio de 2024
  4. [4]
    De media, las organizaciones sanitarias pierden 900 000 USD al día por tiempos de inactividad debidos a ataques de ransomware”, Comparitech, 6 de marzo de 2024
  5. [5]
    Los ataques de ransomware en la sanidad continúan aumentando en número y gravedad”, The HIPAA Journal, septiembre de 2024
  6. [6]
    A merced de los hackers: Los efectos de los ataques de ransomware en hospitales y pacientes; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ataques de ransomware asociados con disrupciones en servicios de urgencias cercanos en EE. UU.; Ataques de ransomware asociados con disrupciones en servicios de urgencias cercanos en EE. UU. | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    El aumento de ataques de ransomware perjudica a la recuperación financiera”, The HIPPA Journal, 20 de septiembre de 2024
  10. [10]
    Datos de pacientes expuestos en ataque de suplantación de identidad en UC San Diego Health”, The HIPPA Journal, 13 de marzo de 2024
  11. [11]
    Los ataques de ransomware: factor clave en la decisión de cerrar un hospital rural de Illinois”, The HIPPA Journal, 14 de junio de 2023
  12. [12]
    Los ataques de ransomware en la sanidad continúan aumentando en número y gravedad”, The HIPAA Journal, septiembre de 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Se produjeron más fusiones de hospitales en in 2023 y las dificultades financieras están impulsando más acuerdos (chiefhealthcareexecutive.com)
  15. [15]
    Interoperabilidad y métodos de intercambio entre hospitales en 2021 | HealthIT.gov
  16. [16]
    Informe de protección digital de Microsoft 2024, Microsoft, página 27
  17. [17]
    Telemetría de Inteligencia contra amenazas Microsoft, 2024
  18. [18]
    Catálogo de vulnerabilidades explotadas conocidas”, CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Datos de Inteligencia contra amenazas Microsoft sobre ciberamenazas del sector sanitario, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Ciberdelito

Más información sobre la seguridad

Guía de higiene de la resiliencia cibernética

La ciberhigiene básica sigue siendo la mejor manera de defender las identidades, dispositivos, datos, aplicaciones, infraestructuras y redes de una organización frente al 98 % de las ciberamenazas. Descubre consejos prácticos en una guía completa.
Más información

La lucha contra los piratas informáticos que interrumpieron el funcionamiento de hospitales y pusieron vidas en peligro

Infórmate sobre las últimas amenazas emergentes a partir de los datos e investigaciones sobre amenazas de Microsoft. Obtén análisis sobre tendencias y directrices prácticas para reforzar tu primera línea de defensa.
Más información

Aprovechar la economía de confianza: el fraude de la ingeniería social

Explora un entorno digital en evolución donde la confianza es una moneda de cambio y una vulnerabilidad. Descubre las tácticas de fraude mediante ing que usan más los ciberatacantes y revisa las estrategias que te pueden ayudar a identificar y evitar las amenazas de ingeniería social diseñadas para manipular la naturaleza humana.
Más información

Seguir a Seguridad de Microsoft