El pentesting automatizado es una potente herramienta para contrarrestar los riesgos para la ciberseguridad hospitalaria. Estos aumentaron ante el abrupto incremento de los servicios de telesalud para adaptarse a la emergencia sanitaria. Clínicas y nosocomios se vieron obligados a implementar plataformas y protocolos en un tiempo récord para brindar teleconsultas de manera eficiente. En consecuencia, se ha registrado un aumento de todos los tipos de ataques cibernéticos con motivo de la pandemia.

Entre las amenazas enfrentadas por los sistemas de salud destacan los correos electrónicos y sitios web con phishing. También han proliferado aplicaciones engañosas que, con el pretexto de brindar información sobre la enfermedad, buscan engañar a los usuarios para atacarlos con malware. Inclusive han surgido supuestos antivirus que son, en realidad, programas maliciosos que convierten en bots a las computadoras infectadas. Un ejemplo destacado de estas cibersamenazas es el repunte de los ataques de ransomware que han experimentado instituciones de salud en todo el mundo, marcadamente en Estados Unidos.

Fallas detectadas

Entre las herramientas disponibles para contrarrestar dichos riesgos se cuenta las pruebas de penetración. Conocidas como hacking ético o pentesting, son realizadas por un hacker o grupo de hackers, quienes simulan ciberataques a la red de una organización o un departamento individual, tales como aplicaciones o dispositivos móviles. Para ello, imitan las tácticas usadas por verdaderos criminales. Se utilizan para detectar las fallas o debilidades de un sistema. Eso permite determinar la probabilidad de que sean explotadas por un pirata informático.

Existen diferentes tipos de pentesting: de red (internas y externas, cableadas e inalámbricas), de aplicaciones web y de ingeniería social. Todos pueden tener especial relevancia para clínicas y hospitales.

Dados los numerosos dispositivos terminales conectados a la IoMT, resulta vital para el sector salud detectar puntos de acceso vulnerables o hardware potencialmente peligroso conectado a la red de las organizaciones. También es conveniente evaluar la factibilidad de que los empleados rompan reglamentos de seguridad o den acceso involuntario a información.

El siguiente paso: pentesting automatizado

La mayoría de las organizaciones, incluidas las instituciones de salud, suelen programar pruebas de penetración si acaso una o dos veces al año. Adicionalmente, la duración de las pruebas es limitada, lo que a su vez acota la utilidad de sus resultados. El motivo: las pruebas exigen un gran número de horas-hombre para realizarlas y evaluar los datos arrojados.

Una manera de contrarrestar este problema es mediante el pentesting automatizado, también llamado Continuous Automated Penetration and Attack Testing (CAPAT). Consiste en una nueva técnica que simula ataques a través de campañas controladas de correos electrónicos con phishing, ingeniería social o la explotación de debilidades en aplicaciones.

Entre las ventajas de esta automatización radica la posibilidad de configurar las herramientas para que ataquen con ritmos variados e incorporen las tácticas y procedimientos adoptados por los cibercriminales conforme se vayan dando a conocer. Eso permite adaptar las defensas de las instituciones con mucha más velocidad y solidez que mediante los métodos tradicionales. Inclusive, se pueden utilizar algoritmos de machine learning para variar los ataques y adaptarlos a las particularidades de cada red analizada.

Consideraciones para implementarlas

●¿Es conveniente el momento? Es aconsejable fortalecer primero la seguridad de la información. El objetivo de una prueba de penetración es evaluar y mejorar las estrategias y tácticas implementadas, no crearlas.

●Establecer límites para la prueba. Esto resulta especialmente importante si hay dispositivos, sistemas o infraestructura que no deben ser atacados.

●Conocimiento de la institución. Los hospitales suelen tener hardware muy heterogéneo y no son raros los dispositivos que carecen de características intrínsecas de ciberseguridad. Además, los datos que recopilan, producen y procesan las instituciones de salud invariablemente se pueden considerar como delicados y confidenciales. Por ello, el proveedor de las herramientas de pentesting automatizado debe estar familiarizado con las realidades de cada institución. También es aconsejable que se tenga la suficiente disponibilidad y flexibilidad para trabajar con el equipo interno de TIC.

●Tomar en cuenta los hallazgos para realizar mejoras. Las pruebas de penetración automatizadas arrojan información continua sobre las debilidades encontradas. Para aprovecharla al máximo, conviene asegurarse de que resulten en cambios a los planes de seguridad informática. Para ello, es necesario realizar un inventario de los hallazgos, priorizarlos e implementar mejoras.