Si bien los proveedores de atención médica y los proveedores de la industria de la salud no pueden darse el lujo de ignorar HIPAA, ha surgido una nueva amenaza y está a punto de hacerse mucho más grande: ataques de ransomware en hospitales y proveedores de atención médica que no buscan violar la información del paciente, sino que la hacen inaccesible hasta que la organización pague Un fuerte rescate.

En las últimas semanas, se han producido los siguientes ataques principales de ransomware en centros de salud:

  • En febrero de 2016, los piratas informáticos utilizaron una pieza de ransomware llamada Locky para atacar el Hollywood Presbyterian Medical Center en Los Ángeles, haciendo que las computadoras de la organización no funcionen. Después de una semana, el hospital cedió a las demandas de los piratas informáticos y pagó un rescate de Bitcoin de $ 17,000.00 por la clave para desbloquear sus computadoras.

  • A principios de marzo de 2016, el Hospital Metodista en Henderson, Kentucky, también fue atacado usando el ransomware Locky. En lugar de pagar el rescate, la organización restauró los datos de las copias de seguridad. Sin embargo, el hospital se vio obligado a declarar un “estado de emergencia” que duró aproximadamente tres días.

  • A fines de marzo, MedStar Health, que opera 10 hospitales y más de 250 clínicas ambulatorias en el área de Maryland / DC, fue víctima de un ataque de ransomware. La organización inmediatamente cerró su red para evitar la propagación del ataque y comenzó a restaurar gradualmente los datos de las copias de seguridad. Aunque los hospitales y clínicas de MedStar permanecieron abiertos, los empleados no pudieron acceder al correo electrónico ni a los registros de salud electrónicos, y los pacientes no pudieron hacer citas en línea; todo tuvo que volver al papel.

Probablemente, esto es solo el comienzo. Un estudio reciente de Health Information Trust Alliance descubrió que el 52% de los sistemas de los hospitales de EE. UU. Estaban infectados por software malicioso.

¿Qué es el ransomware?

El ransomware es un malware que hace que un sistema no funcione (en esencia, lo mantiene como rehén) hasta que se paga una tarifa de rescate (generalmente exigida en Bitcoin) al pirata informático, que luego proporciona una clave para desbloquear el sistema. A diferencia de muchas otras formas de ciberataques, que generalmente buscan acceder a los datos de un sistema (como la información de la tarjeta de crédito y los números de la Seguridad Social), el ransomware simplemente bloquea los datos.

Los piratas informáticos generalmente emplean técnicas de ingeniería social, como correos electrónicos de phishing y descargas de software gratuitas, para llevar el ransomware a un sistema. Solo una estación de trabajo debe infectarse para que funcione el ransomware; Una vez que el ransomware ha infectado una sola estación de trabajo, atraviesa la red de la organización objetivo, encriptando archivos en unidades de red mapeadas y no mapeadas. Con el tiempo suficiente, incluso puede llegar a los archivos de copia de seguridad de una organización, lo que hace imposible restaurar el sistema utilizando copias de seguridad, como lo hicieron Methodist Hospital y MedStar.

Una vez que los archivos están encriptados, el ransomware muestra una ventana emergente o una página web que explica que los archivos han sido bloqueados y da instrucciones sobre cómo pagar para desbloquearlos (algunos empleados de MedStar informaron haber visto una ventana emergente antes de que se cerrara el sistema abajo). El rescate casi siempre se exige en forma de Bitcoin (abreviado como BTC), una “criptomoneda” no rastreable. Una vez que se paga el rescate, el hacker lo promete, se proporcionará una clave de descifrado para desbloquear los archivos.

Desafortunadamente, debido a que los perpetradores de ransomware son criminales y, por lo tanto, no son confiables para empezar, pagar el rescate no está garantizado para funcionar. Una organización puede pagar cientos, incluso miles de dólares y no recibir respuesta, o recibir una clave que no funciona o que no funciona por completo. Por estas razones, así como para disuadir futuros ataques, el FBI recomienda que las víctimas de ransomware no cedan y paguen. Sin embargo, algunas organizaciones pueden entrar en pánico y no pueden ejercer tal moderación.

Debido a esto, los ataques de ransomware pueden ser mucho más lucrativos para los piratas informáticos que el robo de datos. Una vez que se roba un conjunto de datos, el pirata informático debe adquirir un comprador y negociar un precio, pero en un ataque de ransomware, el pirata informático ya tiene un “comprador”: el propietario de la información, que no está en condiciones de negociar el precio .

¿Por qué la industria de la salud está siendo blanco de ataques de ransomware?

Hay varias razones por las cuales la industria de la salud se ha convertido en un objetivo principal para los ataques de ransomware. Primero está la sensibilidad e importancia de los datos de salud. Una empresa que vende, por ejemplo, dulces o suministros para mascotas sufrirá un golpe financiero si no puede acceder a los datos de sus clientes durante unos días o una semana; los pedidos pueden dejarse sin llenar o entregados tarde. Sin embargo, ningún cliente se verá perjudicado o morirá si no se entrega a tiempo una caja de bombones o una cama para perros. No se puede decir lo mismo de la asistencia sanitaria; Los médicos, las enfermeras y otros profesionales médicos necesitan acceso inmediato y continuo a los datos del paciente para evitar lesiones, incluso muertes.

US News & World Report apunta a otro culpable: el hecho de que la atención médica, a diferencia de muchas otras industrias, se volvió digital prácticamente de la noche a la mañana en lugar de gradualmente y con el tiempo. Además, muchas organizaciones de atención médica ven a sus departamentos de TI como un costo que debe minimizarse y, por lo tanto, no asignan suficiente dinero o recursos humanos para esta función:

Según las estadísticas de la Oficina del Coordinador Nacional de Tecnología de la Información de Salud, mientras que solo el 9.4 por ciento de los hospitales usaban un sistema de registro electrónico básico en 2008, el 96.9 por ciento de ellos usaban sistemas de registro electrónico certificados en 2014.

Esta tasa de crecimiento explosivo es alarmante e indica que las entidades de atención médica no podrían tener la disposición organizativa para adoptar tecnologías de la información en un período tan corto de tiempo. Muchas de las organizaciones de atención médica pequeñas o medianas no ven la TI como una parte integral de la atención médica, sino que la consideran como un mandato que les fue impuesto por hospitales más grandes o el gobierno federal. Precisamente por esta razón, las organizaciones de atención médica no priorizan las tecnologías de TI y seguridad en sus inversiones y, por lo tanto, no asignan los recursos necesarios para garantizar la seguridad de sus sistemas de TI, lo que los hace especialmente vulnerables a las violaciones de la privacidad.

¿Qué puede hacer la industria de la salud sobre el ransomware?

Primero, la industria de la salud necesita un cambio importante en la mentalidad: los proveedores deben dejar de ver los sistemas de información y la seguridad de la información como costos generales para minimizarlos, darse cuenta de que la TI es una parte crítica de la atención médica del siglo XXI y asignar los recursos monetarios y humanos adecuados para funcionar y asegurar sus sistemas de información.

La buena noticia es que, dado que el ransomware casi siempre ingresa a un sistema a través de técnicas simples de ingeniería social como correos electrónicos de phishing, es completamente posible prevenir ataques de ransomware tomando medidas como:

  • Instituir una política integral de seguridad cibernética organizacional

  • Implementación de capacitación continua para empleados sobre conciencia de seguridad

  • Pruebas de penetración periódicas para identificar vulnerabilidades.