Los líderes de TI de los hospitales se están defendiendo de más ciberatacantes que buscan capitalizar la crisis de COVID-19 para obtener ganancias financieras.

Mt. San Rafael Hospital en Colorado, Estados Unidos, frustró un ataque de ransomware en una de sus instalaciones hermanas a principios de este año antes de que algo pudiera verse comprometido. La organización todavía está trabajando en los detalles del ataque, dice el CIO Michael Archuleta, cuyo hospital es parte de BridgeCare Health Network, que incluye cinco hospitales en Colorado. “Podría haber sido un problema grave si no hubiéramos tenido la automatización y la inteligencia para detectarlo y detenerlo”, señala Archuleta.

La mayoría del ransomware proviene de un archivo adjunto de correo electrónico malicioso que los empleados abren y propagan sin saberlo a través de una red. Los atacantes pueden usar este exploit para bloquear sistemas y exigir un pago para liberarlos.

No todas las organizaciones se han apresurado a detectar comportamientos maliciosos. Sólo pregúntele a las víctimas atrapadas en “la red” de SolarWinds 2020, que se infiltró en la cadena de suministro de software y se extendió como pólvora por miles de empresas y agencias gubernamentales, incluido el Departamento de Estado de EE. UU. La pandemia global demostró ser una oportunidad fértil para que los perpetradores realicen ciberataques contra todas las industrias que lidian con los impactos del COVID-19 en sus negocios.

La atención médica está lista para el ciberataque

Quizás ningún sector ha lidiado más con el ransomware, que la industria de la salud, cuya riqueza de computadoras conectadas, dispositivos médicos e información de pacientes lo convierten en un tesoro para los atacantes. Solo en 2020, 18 familias de ransomware infectaron 104 organizaciones de atención médica, incluidos hospitales, empresas farmacéuticas y empresas biomédicas, según el informe de amenazas globales de 2021 del proveedor de ciberseguridad CrowdStrike.

“Las organizaciones de atención médica tienden a no estar tan preparadas desde una perspectiva de ciberseguridad como otras” para defenderse de los ataques, según el analista de Gartner, Paul Proctor, quien dice que ha recibido varias llamadas de CIO de hospitales y líderes de seguridad sobre amenazas durante la pandemia. Algunos quieren saber qué pueden hacer para detener mejor los ataques; otros ya han experimentado el “momento transformador” de ser violados.

Lo que sorprende a Proctor es la continua resistencia de los responsables ejecutivos de la toma de decisiones a reconocer la importancia de la tecnología de la que dependen para respaldar su organización. Muchos ejecutivos de la salud continúan viendo la ciberseguridad como una preocupación de cumplimiento más que como un riesgo empresarial existencial. Como resultado, muchas organizaciones de atención médica aún invierten insuficientemente en tecnología y no logran educar al personal en ciberhigiene básica, como identificar los ataques de phishing.

La TI hospitalaria se prepara contra los ataques

Archuleta, de Mt. San Rafael Hospital, está de acuerdo, y señala que sectores como los de finanzas y energía practican mejor la ciberseguridad que las organizaciones de atención médica. A pesar de haber visto más “ataques de oportunidad” durante el brote, muchas organizaciones todavía se aferran a la ciberseguridad en lugar de integrarla como parte de sus estrategias centrales de TI, asevera el CIO.

“Cyber ​​ha sido visto como un centro de costos más que como un contribuyente de ingresos estratégicos”, dice. “Necesitamos impulsar la innovación”.

Para defender su hospital, Archuleta implementó el software Cylera para monitorear una red de Internet de las Cosas (IoT) que abarca máquinas de radiología, compuadoras y otros equipos. “Proporciona esa vista de halcón” de todo, desde direcciones IP y sistemas operativos hasta impresoras y redes de área local virtuales, explica. El software, que el personal de TI puede observar categorizando las amenazas por riesgo en un tablero, desconecta dispositivos o sistemas de la red si detecta anomalías.

Asimismo, la estrategia de defensa de Mt. San Rafael Hospital incluye software y hardware de Dell, Cisco y Splunk. Archuleta también brinda educación en ciberseguridad para garantizar un “firewall humano fuerte”.

El aumento del ransomware y otras amenazas cibernéticas durante la pandemia también está atrayendo la atención de otros centros de atención médica. El Hospital Cedars-Sinai, por ejemplo, ha “desplegado un montón de cosas” para proteger a la organización contra ransomware y diversas amenazas, según explica su CIO, Darren Dworkin.

Por ejemplo, el departamento de TI expandió la infraestructura de escritorio virtual del hospital para dar cuenta de más empleados que trabajaban desde casa e implementó herramientas de monitoreo en computadoras domésticas.

“Digamos que es ‘más de todo’, incluida la dependencia de los SOC [centros de operaciones de seguridad] y las herramientas para gestionar los incidentes”, confiesa Dworkin.

El ransomware reina como principal preocupación

Por su parte, el Dr. Sam Amirfar, CIO de The Brooklyn Hospital Center, dice que la cantidad de bots que buscan debilidades ha aumentado de manera exponencial desde que se unió a la organización en 2014. Los bots descubren vulnerabilidades y las transmiten a los perpetradores humanos, quienes luego pueden colocar cargas útiles específicas en instalaciones para ransomware. “Te sorprenderá lo sofisticados que han sido algunos de los ataques”, declara Amirfar.

El CIO atribuye este aumento en los ataques a los sistemas de salud, así como al aumento de sofisticadas herramientas de piratería y criptomonedas como Bitcoin, que facilitan a los perpetradores aceptar pagos de forma anónima. Está especialmente preocupado de que los perpetradores engañen a los trabajadores de la salud siempre fatigados y estresados ​​por la pandemia para que hagan clic en enlaces maliciosos en correos electrónicos y mensajes de texto.

Aunque el centro es pequeño, una sola instalación con alrededor de 200 camas, su proximidad al estadio Barclays Center, que alberga partidos de baloncesto profesional y conciertos, entre otros eventos, lo convierte en un objetivo potencial.

A este respecto, Amirfar ofreció la siguiente hipótesis: Supongamos que una estrella del pop se lesiona una pierna mientras actuaba en el Barclays Center y la llevan al Centro para recibir tratamiento. Si se publicita, convertiría al hospital en un objetivo adecuado. Amirfar teme que un pirata informático pueda lanzar un ataque de ransomware en el hospital, bloqueando sus computadoras con software de cifrado y exigiendo el pago en Bitcoin para liberar las claves de descifrado.

Esos escenarios plausibles dificultan que Amirfar duerma cómodamente por la noche, a pesar de que le paga a Cisco Systems para administrar un SOC para el hospital, que opera más de 2,200 PC y 500 servidores. Si Cisco detecta algo sospechoso, lo apaga y alerta de inmediato al equipo de Amirfar.

“Cisco estableció una gran red de seguridad”, explica Amirfar. En un mes, el Centro registró más de 148 millones de eventos de seguridad que fueron analizados y descartados o investigados por Cisco. De esos 148 millones, 248 fueron investigados más a fondo por Cisco, menos de un tercio de los cuales fueron elevados al equipo de Amirfar para su resolución final.

Aun así, Amirfar reconoce que los hospitales son “peones de una gran guerra digital”.

“Si el Departamento de Estado no puede protegerse a sí mismo, no veo cómo pueda protegernos a nosotros”, agrega Amirfar, aludiendo al ataque SolarWinds.

Clint Boulton, CIO.com