La salud en España, en guardia en la guerra contra el cibercrimen

El sector de la salud en España se arma frente a la creciente amenaza de la ciberdelincuencia. Con una infraestructura tecnológica que los expertos describen como obsoleta y desactualizada y unos datos muy golosos para los ciberdelincuentes, los ciberataques sufridos en los últimos años por entidades como el Hospital Clínic o el Moisès Broggi pueden no ser casos aislados.

Además, el sector tiende a unificar y compartir datos sanitarios a escala europea, con la consiguiente exposición aún mayor de las historias clínicas de los pacientes. Ante ello, la sanidad pública y privada en España ha decidido armarse y movilizar recursos contra el cibercrimen. La Alianza de la Sanidad Privada Española (Aspe) y la Generalitat catalana han sido solo algunos de los operadores del sector salud que han expresado la necesidad de atajar una cuestión que interesa cada vez más a los sanitarios.

Luis Mendicuti, secretario general de Aspe, señala a PlantaDoce que, para su asociación, “la ciberseguridad en el sistema sanitario no es una opción, es algo fundamental”. Para él, es una cuestión de confianza: “cualquier vulnerabilidad en nuestra infraestructura puede erosionar la confianza en el sistema”. Por lo que, concluye Mendicuti, es necesario “invertir en proteger nuestros sistemas con la misma diligencia con la que cuidamos a nuestros pacientes”.

Pero la compañía Aiuken, especializada en ciberseguridad, sostiene en un informe publicado recientemente que las aspiraciones de Aspe siguen lejos de las necesidades de la sanidad española. Esta compañía entiende que la creciente complejidad tecnológica del sistema sanitario, junto a la imperativa digitalización de los datos de los usuarios, es un cóctel explosivo cuando se mezcla con lo que ve como “infraestructuras tecnológicas obsoletas o poco actualizadas”.

La falta de inversión adecuada, sigue el informe de Aiuken, permite “un panorama cada vez más atractivo para los cibercriminales”, el negocio de los cuales se fundamenta muchas veces en la venta de datos en el mercado negro.

La tendencia del sistema sanitario es avanzar hacia la convergencia de datos sanitarios en el ámbito de la Unión Europea

En la jornada de Aspe, titulada Protección de Datos y Ciberseguridad en la Sanidad Privada: Avances y Estrategias, intervino el vocal de la Asociación Española de Derecho Sanitario e investigador en la Universidad del País Vasco Iñigo de Miguel Beriain. De Miguel recordó que la tendencia del sistema sanitario de la Unión Europea (UE) es la de avanzar hacia un “mercado único” de historiales médicos electrónicos y productos sanitarios pertinentes.

Una tendencia, la de la convergencia de datos, que algunos operadores privados de ámbito europeo ya están llevando a cabo. Es el caso de Miranza, cuyo director general, Ramón Berra, anticipaba en una entrevista a PlantaDoce que preveían cerrar en unos dos años la unificación de todas las bases de datos de las empresas de Veonet, el grupo oftalmológico del que forman parte.

Por todo ello y mucho más, los presupuestos no aprobados de la Generalitat de Cataluña tenían prevista una partida presupuestaria de 6,5 millones de euros para desarrollar las defensas de los 68 hospitales que integran el Sistema de Salud de Cataluña (Siscat). Para ello, esperaba contar con el apoyo de la Agencia de Ciberseguridad de Cataluña (ACC).

Tipos de ciberamenazas para el sistema sanitario

A preguntas de PlantaDoce, la ACC detalla el tipo de amenazas a las que debe hacer frente el Siscat, en particular, y el Sistema Nacional de Salud (SNS) en general. Según su pronóstico de ciberamenazas para el mes de marzo, por ejemplo, los riesgos que enfrenta el sector salud son el ransomware, el compromiso de cuentas de usuarios para distribuir contenido tipo phishing y el compromiso de credenciales para obtener datos de usuarios.

Por ransomware hay que entender la práctica de robo de dispositivos mediante su cifrado. Es un tipo de ciberdelincuencia que ya se ha cebado con hospitales públicos como el Moisès Broggi. En ese caso, los ciberatacantes consiguieron introducir un virus en los ordenadores del centro médico con el que bloquearon el acceso a los trabajadores del hospital encriptando sus archivos. A cambio de devolver el acceso a estos dispositivos electrónicos, los ciberdelincuentes exigían un rescate en criptodivisas. 

El phishing, pesca en inglés, es la técnica por la que se induce a un usuario a pinchar un enlace que descarga en su ordenador algún tipo de programa malicioso. Según la ACC, uno de los ataques más recurrentes en el último mes fue el vishing, un tipo de phishing en forma de llamada telefónica en la que los ciberdelincuentes recrean la voz de un compañero de trabajo.

Soluciones

Para hacer frente a los riesgos inherentes en la ciberdelincuencia, Aiuken propone, entre otras soluciones, restringir el acceso a los registros electrónicos sanitarios al mínimo número de personas posible y mantener formadas a las personas que pueden acceder al historial médico del paciente.

La ACC, además, tenía previstas acciones enfocadas a la compartición de inteligencia operativa, revisiones técnicas de activos expuestos a Internet, el desarrollo de planes de acción y el asesoramiento normativo. El objetivo era, en definitiva, avanzar hacia la certificación del Esquema Nacional de Seguridad (ENS), el estándar de las administraciones públicas de España en esta materia.