En el mundo actual mucha de nuestra vida ya está digitalizada. Para el cuidado de la salud se comparten datos confidenciales por la Internet y cada vez más enfermos son monitoreados de manera remota. Por ello, aplicar el modelo Zero Trust en el sector salud puede ser muy útil para mantener la ciberseguridad, sobre todo porque los ataques contra clínicas y hospitales se incrementaron desde el año pasado, durante el confinamiento por la pandemia, y no han cesado de ocurrir.
Los criminales pueden recurrir a estratagemas como espiar el tráfico en las redes hospitalarias mediante sniffing para robar datos importantes, como los contenidos en los expedientes clínicos electrónicos (ECE) y otros documentos digitales. También pueden enviar correos electrónicos con phishing o emplear técnicas de ingeniería social para engañar a los usuarios más incautos y obtener su información. En muchos casos, el objetivo es montar un ataque de ransomware contra la institución, el cual puede resultar muy costoso, ya sea que se recuperen o no los recursos secuestrados.
—Muchas personas tienen la idea de que la ciberseguridad es algo que hacen consultores externos, se implementa de una vez y a partir de ahí la institución es segura para siempre. Eso es una falsa concepción —explica Antonio Galindo, vicepresidente de ingeniería de Bedu, una plataforma online dedicada a la educación especializada en habilidades digitales emergentes. Lo mismo ofrece programas con aliados de negocios que cursos gratuitos. Se dirigen a especialistas y público en general.
Atacantes externos e internos
El concepto Zero Trust (“confianza cero”) fue acuñado en 2010 por la firma de consultoría e investigación de mercados Forrester. Postula que las organizaciones nunca deben confiar a priori en ningún usuario o dispositivo, interno o externo, que busque acceder a los recursos informáticos. El modelo asume que puede haber atacantes tanto dentro de la red corporativa como fuera de ella.
Un entorno Zero Trust en el sector salud busca tener control y conocimiento en todo momento de los dispositivos y las personas que se conectan a las redes hospitalarias. —El propósito es que sólo puedan acceder a los recursos digitales (archivos, bases de datos, sistemas) aquellos usuarios expresamente autorizados, que utilicen dispositivos específicamente designados, que lo hagan en los horarios previamente determinados y únicamente desde las ubicaciones permitidas —explica Galindo.
Ahora bien, implementar el modelo Zero Trust en el sector salud no es fácil, porque en general —sobre todo en instituciones públicas— el equipamiento no está actualizado ni es robusto. Los administradores TIC no siempre cuentan con las herramientas para vigilar el tráfico en la red y determinar si alguien está escaneándolo y descargando información, como la contenida en los expedientes clínicos electrónicos. En el caso de los dispositivos de monitoreo remoto, el principal riesgo ocurre durante la comunicación con los servidores de las instituciones de salud. Si el canal empleado para dicha comunicación no está bien protegido, puede ser hackeado.
Capacitación para Zero Trust en el sector salud
Cuando se implementa el modelo Zero Trust en el sector salud el primer paso es revisar qué tan desactualizadas están las infraestructuras y cómo robustecerlas. Hay que validar la arquitectura de la red e identificar los puntos físicos desde los que se permitirá el acceso para segmentarla.
Luego, se deben definir con claridad los mecanismos de acceso a cada punto. De esa manera, el personal sólo tendrá acceso bajo condiciones específicas. Por ejemplo, si alguien está en otro edificio u otro piso donde no suele trabajar, no podrá tener acceso a dispositivos o información si no tiene expresa autorización para hacerlo desde ese sitio o segmento de la red.
Por otra parte, se debe validar que ningún recurso conserve las credenciales por defecto. Muchas veces los dispositivos médicos se conectan a las redes hospitalarias con las credenciales preestablecidas de fábrica, lo cual abre la puerta a los ciberdelincuentes. Existen herramientas muy poderosas para generar contraseñas robustas, aunque al personal se le complique un poco recordarlas. Por supuesto, hay que tomar en cuenta que los gestores de contraseñas pueden ser vulnerables si el dispositivo en el que residen no está bien protegido.
Mantener el modelo Zero Trust en el sector salud demanda un proceso de mejora continua ligado al ejercicio de las mejores prácticas para garantizar y controlar los accesos desde dispositivos, redes, momentos y regiones conocidas. Así, en caso de sufrir un ataque, los equipos de ciberseguridad pueden detectar con precisión cuándo y de dónde se robaron o manipularon datos, lo cual permite dar una respuesta más rápida a la crisis.
La seguridad física también importa
El uso de machine learning facilita determinar los perfiles de los usuarios: al aprender cómo trabajan usualmente, a qué hora se conectan, a qué tipo de documentos acceden, a qué hora terminan su jornada laboral, entre otros factores, es más fácil identificar posibles amenazas.
Una vez que los perfiles de cada usuario están establecidos, mediante el monitoreo de las redes se pueden detectar en tiempo real los comportamientos anómalos (por ejemplo, el acceso a aplicaciones en horarios inusuales o descarga de grandes cantidades de información) y poner en marcha medidas inmediatas para defender los datos. Es posible, por ejemplo, bloquear temporalmente cuentas de usuario, hacer que expiren ligas a documentos compartidos, grabar la sesión, notificar a los usuarios que su comportamiento ha generado inquietudes respecto a la seguridad, entre otras acciones.
—Por otra parte, la seguridad física importa. Si una computadora no tiene controles de acceso, cualquier persona que pase por ahí puede entrar en el sistema —explica Galindo—. Particularmente en Latinoamérica y en México, se tiende a ser muy confiados en este aspecto, porque, por ejemplo, la computadora está del otro lado de un mostrador. Se debe entrenar al personal para que solamente personas plenamente identificadas tengan acceso a los equipos ubicadas en áreas restringidas.
Es necesario que los trabajadores administrativos comprendan cuán crítico resulta que utilicen el equipo de la institución solamente para asuntos de trabajo y evitan usarlos para acceder a sitios externos, como las redes sociales. También se debe preparar al personal médico y de soporte para que sigan los mismos criterios. —Vale la pena hacer seminarios para ello —asevera Galindo—. A todos hay que capacitarlos para que sean muy responsables en el uso de los recursos informáticos del hospital y aprendan cómo pueden contribuir a que estén más seguros.