Inicio Salud Ciberseguridad Hackeo ético para la seguridad hospitalaria

Hackeo ético para la seguridad hospitalaria

Por

22 agosto, 2024

593

El ransomware, entre otro tipo de amenazas cibernéticas, mantienen en riesgo constante los recursos de TIC de los sistemas de salud. Por ende, es indispensable mantener las mejores medidas de ciberseguridad en todo momento. Sin embargo, siempre es posible que haya vulnerabilidades desconocidas por el personal de TIC. Una manera de detectarlas y subsanarlas es mediante las pruebas de penetración o hackeo ético.

En el hackeo ético, un grupo de especialistas ataca bien la red principal del hospital o de algún departamento individual. El objetivo es ver si es posible violar recursos como aplicaciones o dispositivos móviles. Para ello, imitan las tácticas usadas por verdaderos criminales para detectar las fallas o vulnerabilidades de un sistema. Se cubren las debilidades de software, hardware y factores humanos.

Este último aspecto revista particular importancia, pues el hackeo ético permite valorar cuán proclives son los usuarios de los recursos hospitalarios a caer en engaños de ingeniería social. Para ello, los hackers diseñan engaños para obtener datos críticos. Por ejemplo, se envían correos de phishing escritos por redactores profesionales o incluso por aplicaciones de inteligencia artificial (IA).

Hackeo ético: hasta dónde llega

El primer paso para el uso del hackeo ético es determinar los recursos a examinar y los alcances de la prueba. Luego se determina si el equipo a cargo estará integrado por usuarios internos de la organización o expertos externos. A continuación, y según los objetivos, se elige la mejor metodología para las pruebas. Los principales tipos son tres:

●Caja negra. Los hackers tienen poco o ningún conocimiento previo sobre el sistema a atacar. Es posible que sólo reciban información limitada como URL, direcciones IP o una lista de sistemas y servicios. La finalidad de la caja negra es evaluar la seguridad perimetral y los servicios web accesibles desde fuera de la red hospitalaria.

●Caja gris. Se enfoca en aplicaciones móviles e infraestructura interna. Los encargados del hackeo ético reciben más información sobre el sistema y credenciales de un usuario estándar, pero no derechos de administrador. Eso implica que el atacante debe recurrir a la ingeniería inversa para escalar sus privilegios y hackear centros de procesamiento, bases de datos o servicios de pago.

●Caja blanca. Los atacantes conocen completamente el sistema, incluso los diagramas de su arquitectura y el código fuente. Además, tienen credenciales de administrador. El propósito principal de esta metodología es identificar fallas en aplicaciones o servicios comerciales. Para ello, exploran las consecuencias de hacer mal uso de los recursos; van a la búsqueda de vectores de ataque, controles inadecuados u omisiones en el cumplimiento de normas.

Ahora bien, a pesar de su versatilidad, la eficacia del hackeo ético puede verse mermada si hay demasiada interferencia de parte de la organización examinada. Puede ser que se prohíban pruebas específicas por temor a potenciales daños o bien, que se constriña su alcance. En el extremo, se vuelve imposible descubrir las vulnerabilidades del sistema atacado.