El peligro que representan los ataques ransomware contra el sector salud ha aumentado significativamente en los últimos meses. De acuerdo con un reporte de la firma de ciberseguridad Emsisoft, tan sólo en Estados Unidos el año pasado fueron afectadas al menos 560 organizaciones de salud en 80 ataques distintos (algunos se dirigieron a varios hospitales simultáneamente). Dichos episodios causaron dificultades en el despacho de ambulancias, retrasos en tratamientos médicos o, inclusive, la imposibilidad de atender pacientes porque hubo equipos que dejaron de funcionar y su información era inaccesible, entre otros problemas.

El programa más empleado para los ataques ransomware contra el sector salud es Ryuk, un malware de origen ruso creado en 2018. Para cifrar los archivos utiliza los algoritmos RSA-4096 y AES-256, en los hechos imposibles de descifrar. La única manera de recuperar la información es con las claves que entregan los hackers una vez pagado el rescate, por supuesto exigido en bitcoins. Aun así, a veces falla la recuperación de los datos, especialmente cuando se trata de archivos grandes encriptados parcialmente. Sólo hay una forma de evitar el pago del rescate: contar con copias de restauración puestas a buen resguardo, lejos del alcance de los delincuentes.

La perspectiva es que los ataques ransomware contra el sector salud sigan en aumento. La empresa Cybersecurity Ventures, especializada en seguridad cibernética, ha publicado varias proyecciones sobre los costos globales derivados de ataques informáticos en general. Referente al ransomware, estima que en 2021 costará 20,000 millones de dólares. De hecho, apuntan que este año habrá cerca de 2,867,000 ataques de este tipo alrededor del mundo, a razón de poco más de 327 por hora o bien, uno cada 11 segundos. No todos afectarán a instituciones de salud, pero el panorama no deja de ser preocupante.

Vulnerabilidades y protecciones

Una investigación realizada en 2016 por Kaspersky Lab mostró las vulnerabilidades comúnmente encontradas en la infraestructura hospitalaria de TIC. Las agrupó en 3 rubros:

●Red local: dispositivos accesibles mediante la red sin ninguna restricción; aplicaciones con problemas de seguridad.

●Internet de las Cosas Médicas (IoMT): información crítica de los dispositivos expuesta en el motor de búsqueda Shodan; dispositivos con vulnerabilidades conocidas; aplicaciones con diseños de seguridad defectuosos, uso de contraseñas predeterminadas.

●Conexión WiFi: contraseñas fáciles de adivinar; protocolos de seguridad endebles.

Los problemas señalados no necesariamente desembocan en ataques ransomware contra el sector salud, pero pueden convertirse en vectores aprovechados por los cibercriminales. A ellos se suman las acciones de los usuarios, como seguir ligas de phishing enviadas por correo electrónico o visitar sitios web infectados o maliciosos.

Hay acciones puntuales que ayudan a atajar los ataques ransomware contra el sector salud y reducir su exposición a este riesgo:

●Utilizar soluciones específicas contra el ransomware, además de un buen antivirus y un cortafuegos bien diseñado. Las más completas incluyen herramientas de protección y respaldo que podrían posibilitar la vuelta a las operaciones normales en un plazo muy corto.

●Estar atento contra las infecciones por troyanos. Es usual que un ataque con ransomware comience de esta manera y a veces ocurre días o semanas después de la llegada del troyano. En particular hay que prestar atención a las afectaciones con Trickbot, Emotet, Dridex y Cobalt Strike, pues constituyen un conjunto de malware utilizado con frecuencia para lanzar ataques más sofisticados y peligrosos.

Prevenirse contra los intrusos

●Fortalecer la ciberseguridad en los fines de semana y feriados. Los hackers suelen preferir atacar en esos días, cuando hay menos personal de TIC atento a la seguridad.

●Asegurarse de que los empleados saben cómo identificar y qué hacer ante la llegada de correos electrónicos maliciosos. Los más peligrosos son aquellos que ni siquiera contienen malware adjunto, sino que emplean técnicas de ingeniería social para obtener de las personas confiadas información que facilite el acceso a las redes hospitalarias.

●Mantener actualizado el software —incluido el firmware— de todos los dispositivos conectados a las redes hospitalarias. Dado que en muchos casos eso resulta imposible —simplemente, no existen las actualizaciones o el hardware es demasiado antiguo— conviene recurrir al parchado virtual. Para ello se pueden emplear Sistemas de Prevención de Intrusiones (IPS, Intrusion Prevention System), que implementan un cerco de protección, ese sí actualizable, para ese tipo de aparatos o aplicaciones.

Cero confianza y ataques ransomware contra el sector salud

●Adoptar políticas de confianza cero (zero trust) para acreditar todos los dispositivos conectados a las redes. Dichas políticas implican que la identidad de cada aparato (o usuario) debe ser verificada fehacientemente antes de permitir su acceso a los recursos hospitalarios. Esto cobra relevancia en esta época, cuando muchos empleados trabajan fuera de las instalaciones y para ello utilizan sus propias terminales. Las políticas deben incluir dispositivos, redes y datos, además de la administración de las herramientas de monitoreo, visibilidad, automatización y orquestación para identificar con claridad y certeza a todos los elementos conectados a las redes.

●Inventariar todos los dispositivos utilizados, ya sean propiedad del hospital o de los empleados. Mantener al día el listado permite controlar las actualizaciones necesarias e identificar con tiempo potenciales vectores para los ataques ransomware contra el sector salud.

●Respaldar la información de manera continua. Para ello se deben implementar sistemas que almacenen los datos y creen puntos de recuperación seguros, de tal manera que se pierda la menor cantidad posible de información en caso de ésta sea secuestrada. En este punto conviene utilizar unidades WORM (write once, read many), que aseguran que la información, una vez escrita, puede ser leída pero no modificada, encriptada o borrada de ninguna manera sino hasta después de un plazo estipulado previamente. Dicha protección pone los datos a salvo de las acciones de los delincuentes informáticos y puede dejarlos con un chasco, pues aun cuando secuestraran la información hospitalaria, ésta se podrían recuperar y poner en servicio en una plazo corto. Y sin necesidad de pagar rescate.