Los ciberataques han sido una constante para el sector salud desde el año pasado. Aunque los delincuentes utilizan diversas vías para implementarlos la más común es, por mucho, el correo electrónico. Y todo apunta a que los mensajes maliciosos o phishing continuarán siendo la mayor fuente de amenazas, sobre todo cuando están potenciados por el uso de la ingeniería social.
Los correos con phishing suelen tener como objetivo la recolección de datos personales que luego pueden ser utilizados para fraudes bancarios o para robar la identidad del afectado. También sirven para infectar las computadoras de las víctimas y usarlas para distribuir programas de ransomware por las redes hospitalarias. Entre los más peligrosos para el sector salud se encuentran Ryuk y, más recientemente, Conti. De acuerdo con una investigación del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Ryuk puede estar latente en las redes de cientos de hospitales y organizaciones de salud y es posible que sea reactivado en cualquier momento.
El peligro de sufrir este tipo de ataques se agudiza cuando los hackers emplean técnicas de ingeniería social para crear señuelos más efectivos y engañar con más facilidad a sus potenciales víctimas. Para contrarrestar el peligro, el personal de TIC debe utilizar herramientas que proporcionen visibilidad sobre los posibles objetivos para detectar cuando sean atacados y saber con certeza si siguieron algún enlace malicioso.
Herramientas automatizadas, insuficientes
Por supuesto, resulta esencial utilizar herramientas capaces de detectar y bloquear los correos electrónicos con phishing antes de que lleguen a la bandeja de entrada. Como los ciberdelincuentes pueden utilizar cuentas secuestradas para engañar a los usuarios, conviene recurrir a la autenticación de mensajes basada en dominios, informes y conformidad (Domain-based Message Authentication, Reporting and Conformance, DMARC). Las soluciones de seguridad más completas pueden utilizar políticas de bloqueo y cuarentena personalizadas, tanto para los correos externos como para los internos.
Sin embargo, el empleo de soluciones automatizadas no es suficiente ante la amenaza de la ingeniería social. En los ataques basados en ingeniería social, los criminales se valen de redes sociales como LinkedIn y Facebook, además de motores de búsqueda, para estudiar los perfiles de las personas y comprender las funciones laborales y la jerarquía organizacional de las instituciones de salud que pretenden infiltrar. Con dicha información, buscan convertir a los destinatarios de los mensajes en ayudantes involuntarios para acometer el ataque. Inclusive, pueden asumir la identidad de altos directivos para impartir instrucciones que, de ser ejecutadas, abren las puertas para perpetrar el delito.
Entrenamiento contra la ingeniería social
Si bien este tipo de ataques son difíciles de detectar con las herramientas de seguridad convencionales, al capacitar a los usuarios sobre cómo identificar e informar la llegada de correos electrónicos maliciosos, las instituciones de salud pueden reducir el riesgo significativamente. Además, facilita determinar cuáles usuarios pueden ser más susceptibles de convertirse en blanco de la ingeniería social.
Ante esta nueva modalidad de ataques, la estrategia de ciberseguridad debe poner el acento en proteger no sólo a los dispositivos y las redes, sino a sus usuarios en primer lugar. Esto implica reforzar la capacitación para que todos aprendan y apliquen las mejores prácticas de ciberseguridad. No basta con el mero cumplimiento de las pautas establecidas en las leyes.
Debido al alto valor de los datos que recopilan y procesan clínicas, hospitales y otros servicios sanitarios, no se prevé que se produzca una reducción de los ataques. Al contrario. Es por ello que cobra relevancia el entrenamiento para que todos los usuarios de los sistemas y herramientas TIC en el campo de la salud —personal médico, de enfermería, administrativos e incluso pacientes— estén alertas ante los ataques basados en ingeniería social y sepan cómo responder a ellos para evitar que provoquen daño.
