La sanidad es uno de los sectores 'preferidos' por los ciberdelicuentes. Lo dicen las cifras: el 90% de las organizaciones sanitarias sufrió una media de 40 ciberataques en los últimos doce meses. Esta es una de las conclusiones de un informe realizado por Proofpoint.
Unos ataques que tienen un coste para las entidades. De acuerdo con el análisis de Proofpoint, el coste total medio de un ciberataque fue de casi 5 millones de dólares, lo que supone un aumento del 13% con respecto a las cifras recogidas en el informe del año 2022.
Los cuatro tipos de ataques más comunes fueron el compromiso de la nube, el ransomware (secuestro de datos), la cadena de suministro y el correo electrónico empresarial, todos los cuales tuvieron como consecuencia interrupciones en la atención al paciente.
De hecho, según los resultados de la encuesta, el 66% de las organizaciones que experimentaron uno o más de estos ataques interrumpieron la atención al paciente; el 50% informó de un aumento en las complicaciones de los procedimientos médicos; y el 23% dijo que los ataques aumentaron las tasas de mortalidad de los pacientes.
Estas cifras son parecidas a las que se recogieron el año pasado, lo que indica que las organizaciones del sector sanitario apenas han avanzado en la lucha contra los ciberataques.
Precisamente, sobre esto ha hablado Miguel López, director general de Barracuda Networks, en conversación con EL ESPAÑOL-Invertia. "No existe suficiente concienciación en materia de ciberseguridad. Debe invertirse más porque los ataques dejan al descubierto que no hay barreras", ha dicho.
A esto se suma que el sector sanitario tiene los sistemas "muy obsoletos, lo que genera una serie de problemas", ha añadido, por su parte, Rafael López, responsable de preventa de Perception Point. "Los dispositivos sanitarios son, además, muy específicos y los fabricantes de sistemas de ciberseguridad todavía no están adaptados al entorno sanitario", ha puntualizado.
Pero no son los únicos problemas de la sanidad para hacer frente a la ciberdelicuencia. Rafael López advierte de que no hay profesionales cualificados ni formación específica. Coincide en ello Miguel López: "No se está empujando lo suficiente desde las administraciones públicas la formación en estos perfiles cuando es una de las áreas que más debería fomentarse".
El sector sanitario "es muy crítico" porque "se protege a las personas además de los datos", ha señalado el portavoz de Perception Point. "Si los dispositivos para el tratamiento del cáncer, por ejemplo, son vulnerados en un ciberataque, podrían modificar las dosis o interrumpirlo y poner así en riesgo la vida del paciente", ha alertado. "Fue lo que pasó en el Hospital Clínic de Barcelona hasta que los sistemas se recuperaron".
Los rescates
Precisamente, sobre recuperar la información ha hablado Miguel López. En este sentido, ha señalado que, aunque sea poco ético, en algunos casos "llega a pagarse el rescate que piden los ciberdelicuentes porque no consiguen recuperar los datos sustraídos".
El pago trae asociado un problema y es que esa entidad vuelve a ser candidata a recibir un nuevo ciberataque, ha alertado el director general de Barracuda Networks. De hecho, "si la misma entidad vuelve a ser atacada indica que pueden haber pagado un rescate anteriormente y es un candidato más evidente para los ciberdelicuentes".
Además, López ha explicado que "cuando se paga para rescatar los datos no se resuelve el problema de raíz, que es la falta de seguridad. Y cuando hablamos de ciberataques en sanidad hablamos de un impacto en la vida de los pacientes".
De ahí que el experto pida que se incremente la inversión en ciberseguridad, tanto en el ámbito privado como en el público. "Se está avanzando", ha dicho, por su parte, Rafael López. Sin embargo, reconoce que "no es suficiente y a la vista están los incidentes que se producen en el sector sanitario".