Ciberamenazas susceptibles de afectar al sistema sanitario español durante la COVID-19

El sistema sanitario español resulta muy atractivo para los ciberdelincuentes. Proveedores de servicios sanitarios, compañías farmacéuticas y aseguradoras, centros sanitarios, disponen de numerosos datos relacionados con la Salud de las personas, y custodian información sobre el desarrollo de nuevos medicamentos, que de ser sustraídos, podrían afectar directamente al cuidado de los pacientes; a la privacidad de quienes participan en ensayos clínicos; a la propiedad industrial, o incluso al número de colegiado de un facultativo en disposición de prescribir medicamentos, reflexiona Juan Ramón Gutiérrez.

Recuerda asimismo que, según datos de Trend Micro del presente año, “España se sitúa en el 9 º puesto de los principales países que alojan URL maliciosas relacionadas con la COVID-19, utilizadas para campañas de phishing o con fines de ciberdelincuencia”.

De la monitorización que el equipo de Inteligencia de Ciberamenazas de GMV lleva a cabo, se desprende tal como se puede ver en la siguiente gráfica, que “el phishing está siendo el modo de ataque más frecuente, localizándose en correos electrónicos, mensajes SMS o WhatsApp”. Ello responde a un objetivo principal “el robo de datos de pacientes o personal sanitario”.

Ataques activos

El equipo de Inteligencia de Ciberamenazas de GMV, ante la ventana de oportunidad que supone el coronavirus (gran demanda social de información sobre el tema; sanitarios colapsados de trabajo; vulnerabilidad emocional…) ha detectado varias Campañas de phishing activas.

Entre ellas, una campaña de suplantación de hospitales: mediante correos maliciosos se advierte fraudulentamente al usuario que un amigo o familiar ha dado positivo por el virus del COVID-19, y se le insta a imprimir un archivo adjunto y llevarlo al centro sanitario más cercano; Campaña suplantando al Ministerio de Trabajo, concretamente al Organismo Estatal de Inspección de Trabajo y Seguridad Social (ITSS), en ella el correo malicioso comunica a las empresas una falsa investigación de la Inspección de Trabajo y Seguridad Social, indicando que la empresa no respeta la legislación vigente, aprovechando el estado de alarma como señuelo hacia los destinatarios.

Igualmente, debido a que una gran cantidad de personas están teletrabajado, se han identificado campañas de suplantación de empresas de teleconferencia como WebEx para obtener credenciales.

Asepsia total

Analizando el mapa del estado de la ciberseguridad en el sistema sanitario español los expertos de GMV observan que:

1) la obsolescencia de equipos del parque tecnológico deja puertas abiertas a amenazas que explotan vulnerabilidades fruto de la falta de soporte

2) el diseño actual de las redes sanitarias no está adaptado al nuevo escenario que incorpora las TICs en la operación por lo que  los activos críticos (equipamiento de diagnóstico electrónico digital y de monitorización, sistemas de almacenamiento de datos e historiales, servicios de gestión de citas, agendas de quirófanos, trasplantes, etc.) son puertas abiertas a los cibercriminales.

3)La coexistencia en determinados centros de redes de acceso público (Wifi), con equipos particulares del personal sanitario, hace que existan puntos de unión indirectos mediante los cuales los cibercriminales pueden obtener datos para sus fines ilícitos;

4) existe la posibilidad de que los hackers penetren a través de cualquiera de los nodos de la red sanitaria con malware capaz de interrumpir total o parcialmente la normal actividad de un centro (pe. Imposibilitando el acceso a historiales clínicos, desconfigurando o perdiendo el acceso a equipos de electromedicina o, simplemente, alterando el sistema de citas a consultas externas de un hospital).

Como recuerda Juan Ramón Gutiérrez, Responsable de Inteligencia de Amenazas, si “todo personal sanitario tiene como principio fundamental la asepsia para proteger al paciente, tanto de su persona como del el material sanitario, en una sociedad globalizada y totalmente digitalizada parece obvia la necesidad de “asepsia”, también de los sistemas de información en el sector salud”.

Y, aún más “en los momentos actuales de crisis sanitaria en los que se incrementa la vulnerabilidad frente a atacantes de diversa índole”. Porque, se puede imaginar ¿Qué pasaría si como consecuencia de un incidente/ataque tecnológico el equipamiento de un quirófano se viese alterado en medio de una intervención? ¿Y si se perdieran las historias clínicas de pacientes en tratamiento de cáncer o si la base de datos de enfermería de una planta de UCI, que gestiona la medicación diaria de los pacientes fuese inaccesible por un ataque?

Para que evitar estas situaciones, entre otras, el equipo de Inteligencia de Ciberamenazas de GMV insiste en que a nivel corporativo hay que “ centrarse en la prevención y no solo en la detección: Reforzar medidas de ciberprotección enfocadas al teletrabajo, como VPNs seguras o filtrado web; Asegurar la gestión de parches y actualizaciones; Monitorizar vulnerabilidades propias y de servicios de terceros e Implementar la autenticación multifactor mediante SMS, Google Authenticator o cualquier otro método”.

Y a nivel particular es necesario “Extremar la prudencia cuando se reciben correos electrónicos o mensajes SMS o WhatsApp de destinatarios desconocidos. Concretamente, no pulsar sobre enlaces o frases como “pulse aquí” aunque el mensaje tenga una apariencia normal; Instalar aplicaciones en el ordenador o apps en los dispositivos móviles que sean oficiales y que provengan de una fuente reconocida, como por ejemplo, Google Play o Apple App Store y mantener el ordenador y los dispositivos móviles actualizados”.

Para hacer frente a posibles ciberamenazas, GMV dispone de un CERT (equipo de respuesta ante emergencias informáticas) desde el que ofrece a sus clientes servicios de monitorización de infraestructuras, auditoría, análisis de código para la validación de la seguridad en el ciclo de vida del desarrollo de aplicaciones, servicios de ciberinteligencia que identifican amenazas antes de que éstas puedan ser usadas contra objetivos, servicios forenses que realizan análisis post mortem tras un ataque, así como los servicios de cumplimiento y consultoría.