Inicio Salud Ciberseguridad Robo encubierto de datos en el sector salud

Robo encubierto de datos en el sector salud

Por

13 junio, 2024

El robo encubierto de datos (también conocido como exfiltración de datos) es un problema grave para el sector salud. Consiste en la copia, transferencia o recuperación remotas no autorizadas de la información alojada en un servidor o computadora. Ahora bien, los datos privados de los pacientes (con frecuencia concentrados en los expedientes clínicos electrónicos) son un botín apetitoso para los hackers. En consecuencia, las organizaciones de cuidado de la salud suelen ser un blanco predilecto.

Si bien la exfiltración de datos suele estar asociada con el ransomware, no se limita a este tipo de ataque. Existe malware diseñado para ejecutar automáticamente el robo encubierto de datos valiosos de una computadora. Esto permite montar ataques con una mínima habilidad técnica.

Ahora bien, el robo encubierto de datos puede ser cometido por dos tipos de agentes: internos o externos.

●Internos. Alguien dentro de la empresa (por ejemplo, un empleado descontento o negligente) comparte los datos con personas ajenas. Muchas organizaciones tienen software y políticas de seguridad para evitar la intrusión en sus sistemas desde el exterior. Sin embargo, los usuarios internos suelen acceso a los datos de la empresa o bien, conocen las debilidades en los sistemas. Eso les permite consumar el robo encubierto de datos.

●Externos. La exfiltración por agentes externos suele comenzar al abrir o hacer clic en correos electrónicos de phishing para robar credenciales de acceso. Una vez que lo consiguen, los atacantes suelen realizar el robo encubierto de datos, ya sea de manera manual o automatizada.

Acciones contra el robo encubierto de datos

Por supuesto, el factor humano es una parte importante en la prevención del robo encubierto de datos. En consecuencia, el departamento de TIC debe promover entre todo el personal las mejores prácticas de seguridad. Asimismo, se deben realizar auditorías periódicas para verificar que se siguen. También se requiere evaluar los riesgos asociados con cada interacción con computadoras, aplicaciones y datos.

Igualmente, es recomendable monitorear la actividad en las redes para detectar accesos inusuales, movimiento de datos o uso de software y hardware no autorizados. Además, se deben generar registros por redes, estaciones de trabajo, servidores, correo electrónico, bases de datos, aplicaciones web, firewalls, servicios de autenticación y recursos en la nube. Analizar los registros facilita detectar a tiempo las intrusiones en el ecosistema TIC y, por ende, ayuda a prevenir el robo encubierto de datos.

También conviene emprender adicionales: segmentar y aislar redes; aplicar políticas rigurosas de acceso, y controlar los protocolos utilizados para la transferencia de datos.

●Segmentación y aislamiento. El primer paso debe ser la segmentación de los centros de datos de la clínica u hospital. En especial, se deben aislar e identificar los espacios de almacenamiento en los que cada departamento individual guarda sus datos. Qué tan granular sea dicha segmentación depende, básicamente, de los recursos disponibles y las aplicaciones utilizadas. Una buena manera de hacerlo consiste en comenzar con segmentos grandes y subdividirlos conforme se mapean con precisión las cargas de las aplicaciones y los recursos que utilizan.

●Políticas de acceso rigurosas. La mayoría de las organizaciones sanitarias basan el control de acceso a sus redes en la gestión centralizada de identidades. Combinarla con redes LAN virtuales permite suficiente granularidad para aplicar las políticas de seguridad pertinentes para cada usuario.

Bloqueos preventivos

●Controlar los protocolos. Existen tres vías principales utilizadas para el robo encubierto de datos mediante las redes hospitalarias: protocolos cifrados estandarizados; protocolos no estándar, y técnicas esteganográficas.

○Los atacantes buscan utilizar protocolos cifrados estandarizados porque su tráfico se pierde en el ruido, especialmente en los hospitales grandes. Es el caso del protocolo seguro de transferencia de hipertexto (HTTPS) o el protocolo de copia segura (SCP). Con ellos se complica mucho distinguir entre un robo de datos y una transferencia legítima de información.

Utilizar servidores proxy y dirigir el tráfico a soluciones de prevención de pérdida de datos (DLP) puede bastar para proteger los datos estructurados. Sin embargo, el cuidado de la salud también genera un gran volumen de datos no estructurados.

Una alternativa consiste en monitorear el volumen de las transferencias. El robo encubierto de datos suele implicar la transferencia desde gigabytes hasta terabytes de información. Esto es porque los hackers pueden así revisar la información a su aire, fuera del ecosistema TIC de las organizaciones. Ahora bien, la mayoría de los firewalls y soluciones DLP pueden identificar y bloquear dichas transferencias, pero deben estar bien configurados para ello. Inclusive, las soluciones más actualizadas pueden verificar hacia cuáles direcciones IP se intenta transmitir los datos y bloquearlas según su reputación.

○Para prevenir el uso de protocolos y puertos no estándar para el robo encubierto de datos la mejor opción es bloquearlos, sin excepción. En todo caso, aunque genere algún retraso, es preferible verificar que se trata de solicitudes legítimas.

○La esteganografía consiste en transmitir información encriptándola en protocolos legítimos. Al igual que con el caso anterior, conviene en bloquear y revisar por defecto este tipo de solicitudes.