La telemedicina y los dispositivos de la Internet de las Cosas Médicas (IoMT) que permiten la atención a distancia impulsan el crecimiento de las tecnologías para proteger los datos. Sin embargo, los ciberataques han evolucionado a la par de dichas tecnologías. Es por ello que conviene pensar en estrategias de ciberseguridad como la Zero Trust en la atención médica.

De acuerdo con la edición para Latinoamérica del 2022 Thales Data Threat Report, el 50% de los encuestados afirmó haber experimentado una brecha de seguridad en algún momento. Por su parte, la firma mexicana de ciberseguridad Silikn señala que de enero a agosto de 2022 hubo en México 97,400 millones de ciberataques. Esa cifra que representa el 81.17% de los 120,000 millones de amenazas electrónicas registradas durante todo 2021.

La firma mexicana detalla que el número de ataques contra la atención médica creció 45% en los primeros seis meses de 2022, en comparación con 2021. La salud ocupa el 5° lugar entre los sectores más atacados, por debajo de gobierno, infraestructura crítica, educación y empresas proveedoras de servicios administrados. Ante este panorama, no basta con mantener actualizadas las herramientas de ciberseguridad. También es pertinente adoptar prácticas que atemperen los ataques basados en la ingeniería social y otras fallas humanas. De ahí la relevancia de adoptar una estrategia Zero Trust en la atención médica para contrarrestar a los ciberdelincuentes.

Riesgos ineludibles

Aunque el 2022 Thales Data Threat Report arroja que en América Latina hubo menos ataques que en otras regiones, preocupa que apenas el 42% de los encuestados reconocieron contar con un plan formal de respuesta al ransomware.

Esto puede tener un impacto económico fuerte. Tan sólo en México, el rescate promedio en los ataques de ransomware ocurridos en el primer semestre de 2022 fue de 528,000 dólares. La cifra representó un aumento del 56.5% con respecto al año anterior.

La telemedicina conlleva un riesgo importante. A diferencia de los sistemas de protección implementados dentro de las redes hospitalarias, las redes caseras suelen estar desprotegidas. Así, es más fácil para los ciberdelincuentes acceder a información delicada a causa de una seguridad inadecuada o menos robusta en los dispositivos utilizados en casa por los pacientes. Ante el incremento de la telmedicina, resalta la importancia de tomar medidas enérgicas para asegurar los dispositivos conectados a las redes hospitalarias.

El reporte de Thales informa que el 33% de los encuestados en Latinoamérica están muy preocupados por los riesgos de seguridad que implica el trabajo remoto. Sin embargo, es importante destacar que han mejorado las capacidades de las organizaciones de la región para afrontar estas amenazas. El 31% de los encuestados afirmó que tenían “mucha confianza” en sus soluciones de acceso remoto.

Complementos de Zero Trust en la atención médica

En este escenario, se deben establecer canales seguros para la transmisión de datos. El enfoque Zero Trust en la atención médica se basa en el reconocimiento de que las identidades, las redes, los dispositivos médicos, las acciones, las ubicaciones, las aplicaciones y los datos no deben ser considerados confiables automáticamente. Esta estrategia significa que no hay niveles de confianza implícitos o asumidos entre identidades, redes, usuarios, sistemas o incluso conjuntos de datos.

La seguridad basada en el perímetro se sustenta en nociones obsoletas de confianza. Un ejemplo es la ubicación física, es decir, la red donde existen los datos. Este tipo de estrategias se han vuelto menos efectivas. En 2021, el 28% de los encuestados de Latinoamérica dijeron tener un enfoque de este tipo. Durante 2022, el número ascendió a 37%, una cifra superior al promedio mundial, que es de 30%.

En conclusión: el enfoque de Zero Trust en la atención médica fortalece la ciberseguridad frente a la velocidad y gravedad de ataques, como el ransomware. Pero no basta con adoptar este enfoque. Los expertos de Thales recomiendan planificar un sistema centralizado que incluya a los interesados. Entre otros: equipos de seguridad TIC, legales y el liderazgo sénior, para abordar una respuesta coherente y cohesiva.