Escuchar
Los centros de salud no solo podrían estar infectados por virus biológicos. Hay evidencias de que los informáticos también están desatando epidemias.
Según un estudio de la firma de seguridad informática ESET –en conjunto con el instituto Poneman–, el 48% de los centros de salud en Estados Unidos han experimentado la pérdida o la exposición de información sensible durante los últimos 12 meses.
Los ataques cibernéticos ya no solo están enfocados en las entidades financieras, ahora los hackers decidieron darle clic a los centros de salud.
Sucede que los datos personales de los pacientes es información sensible. Las capacidades de pago, el uso de tratamientos y la dependencia a los medicamentos, resultan ser una mina de oro para los ciberdelincuentes.
Esta realidad no es lejana a nuestro país, pues en setiembre del 2015 la Caja Costarricense de Seguro Social (CCSS) denunció haber sido víctima de un hackeo que comprometió los datos de 500.000 registros que están disponibles en el Sistema de Recaudación Centralizada (Sicere).
Este sistema lleva la información de los afiliados de la CCSS, ejerce el control sobre los aportes del Régimen de Invalidez, Vejez y Muerte, las pensiones complementarias, de enfermedad y maternidad, los fondos de capitalización laboral y las cargas sociales.
LEA: Hackeo en CCSS enciende alarmas en seguridad de datos personales
La filtración demostró la debilidad que existe en los sistemas que resguardan la información de los ciudadanos.
Para lograr una mejor gestión de los datos, expertos hacen recomendaciones sobre cómo realizar resguardos y detectar los dispositivos vulnerables con el fin de evitar ataques en línea.
Epidemia de peligros en la red
Con el paso acelerado de la tecnología, la penetración de Internet, redes sociales y correos, los sistemas de big data y analítica procesan cantidades enormes de información que bien utilizada favorecen a la atención al ciudadano, pero hay descuidos que le pueden pasar la factura muy cara.
El sector de la salud pareciera todavía estar débil ante el gigante del manejo de datos.
“Es evidente que la importancia de la seguridad de la información todavía no llegó a los directivos, como sí ha sucedido en otras industrias que hace más tiempo trabajan en los riesgos que se asumen al no contar con un plan de seguridad integral de la información”, afirmó Pablo Ramos, jefe del Laboratorio de Investigación de ESET Latinoamérica.
LEA: ¿Cómo se infiltra un hacker en los sistemas una empresa?
La investigación “Estado de la ciberseguridad en organizaciones de la salud en 2016”, de ESET, mostró que el 39% de los encargados de proteger los datos en el sector de la salud no sabe cómo resguardarse de los ciberataques y el 50% no tiene un plan de respuesta ante estos incidentes.
El camino se pone más complicado al demostrarse que uno de cada cuatro profesionales de TI en salud no pueden asegurar con exactitud cuántos ciberataques sufrió su organización en el último año; si experimentaron un suceso en el que se perdieron datos de pacientes, o si los ciberataques evadieron sus sistemas de prevención de intrusiones.
Al desconocimiento, se le suma la fragilidad, pues las organizaciones tomadas en cuenta en el estudio han tenido en promedio casi un ataque cibernético por mes en el último año.
Con estos datos queda en evidencia que existe falta de planificación por parte del personal.
“Debe haber una evaluación de riesgos, planeamiento ante incidentes y educación a los empleados”, aseguró Lysa Myers, investigadora de ESET.
Empero, las debilidades no son un tema ajeno, ya que estas actividades se vieron reflejadas en el robo de datos que vivió la CCSS.
En la denuncia que hizo la institución –y de la cual EF tiene copia–, se indica que el robo de información se produjo en el Histórico Laboral, “utilizando acceso y autenticaciones diferentes de las establecidas, excediendo los privilegios de acceso a datos que usualmente tendría el usuario autorizado”.
LEA: Cuatro actitudes frente a las amenazas cibernéticas
De acuerdo con la CCSS, la intromisión se dio por parte de funcionarios de la operadora de pensiones del BAC San José, cuando enviaron solicitudes masivas de información y con un software tipo robot lograron acceder a los datos de más de 522.000 afiliados.
Emilio Bogantes, ingeniero en sistemas de información de la compañía Baum Digital, afirmó –en el marco de la denuncia que se efectuó en setiembre del año pasado– que este caso refleja una vulnerabilidad que permitió brincarse la restricción diaria y dar acceso de los datos.
Sin bajar la guardia
Héctor Guillermo Martínez, vicepresidente ejecutivo de GM Security Technologies, dijo que existen amenazas en todas las industrias, tamaños y topología tecnológica.
“Vemos, por ejemplo, que la mirilla se centraliza en gobiernos, servicios financieros, casinos y proveedores de Internet. También en los últimos años hemos visto una aceleración en los verticales de salud y educación, los cuales no habían sido foco para los ciberdelincuentes hasta los últimos años”, añadió Martínez.
Particularmente, con la explosión del Internet de las cosas, el pronóstico de riesgo de robos de información está en aceleración.
LEA: CiberLegal comienza operaciones en el país por demanda de resguardo de datos informáticos
Para mitigar esta realidad, los expertos de ESET recomendaron crear claves temporales para evitar la doble autenticación.
También sugieren proteger los datos haciéndolos ilegibles a terceros no autorizados, es decir, que estén cifrados, y crear respaldos que permitan recuperar los datos en cualquier momento.
Asimismo, evitar el uso de dispositivos médicos vulnerables, los equipos con sistemas obsoletos, cuidar los datos que comparte por mensajes de texto y WhatsApp y tomar las precauciones con las redes compartidas dentro del área laboral.
Uno de los vectores de ataque más popular es la Inyección de SQL (por sus siglas en inglés Structured Query Language ) que es cuando se inyecta un código infectado a las aplicaciones para sustraer información.
Una buena “receta” para manetner la seguridad actualizada es el parcheo de bases de datos, recomendó Martínez.
