"Cualquier puerta de entrada al sistema supone un riesgo y uno de los objetivos es el chantaje y la extorsión"
Sin embargo, la falta de eficiencia en la administración de los datos o la no disposición de los sistemas de seguridad adecuados, dan lugar a problemas relacionados con delitos de ciberataques. La información de centros sanitarios y diferentes organizaciones especializadas en salud están en riesgo de sufrir la amenaza de los piratas informáticos.Este tipo de delitos los están sufriendo de manera grave organizaciones sanitarias de todo el mundo, sobre todo en Estados Unidos. El modus operandi de estos grupos criminales se basa en el secuestro de los sistemas informáticos a cambio de un rescate económico, aunque, según los expertos, existen múltiples formas de ataque como el bloqueo de esos sistemas. “Cualquier puerta de entrada al sistema supone un riesgo y uno de los objetivos es el chantaje y la extorsión”, explica a SaluDigital, Julio Mayol, director médico y director de la Unidad de Innovación del Hospital Clínico San Carlos de Madrid.
Este especialista es uno de los facultativos españoles con más experiencia desarrollada en lo que llaman “hospitales inteligentes”, es decir, aquellos que usan la digitalización de los datos y su gestión para la mejor asistencia, docencia e investigación. De hecho, Mayol ha participado en el informe presentado recientemente por la Agencia Europea para la Seguridad de la Información y las Redes (Enisa), que esboza el panorama actual de la seguridad de la información en la introducción del Internet de las Cosas en los centros sanitarios. Además, indica una serie de recomendaciones para convertir los centros en “hospitales inteligentes”.
Los ciberataques en salud suponen un coste de casi 4 millones de euros
Este tipo de iniciativas surgen por una problemática que se traduce en pérdidas millonarias para las organizaciones sanitarias que son víctimas de los ciberataques. Un estudio elaborado por el instituto británico Ponemon, especializado en seguridad de la información, revela que el coste estimado causado por pérdidas de registros electrónicos en cerca de 400 organizaciones sanitarias analizadas en 2016, ha sido de unos 4 millones de dólares, es decir, alrededor de 3.800.000 euros.HOSPITALES EN EL PUNTO DE MIRA
Los expertos avisan de la necesidad de un cambio de mentalidad en los hospitales que han ido mejorando la asistencia al paciente a través de soluciones innovadoras, incluso con dispositivos remotos, pero que han ignorado, a menudo, las cuestiones de seguridad de la información. El informe de Enisa revela que los hospitales serán, cada vez más, objetivo prioritario de los ciberataques. El incremento de casos de secuestros de información y bloqueos de los sistemas a usuarios, “sólo son una mínima parte de lo que está posiblemente por venir”. La introducción del Internet de las Cosas en el ecosistema hospitalario incrementa el riesgo de sufrir ataques haciendo a las organizaciones sanitarias más vulnerables.
“Hay muchas brechas de seguridad, tanto en sistemas de información como en dispositivos remotos o implantables”, dice el doctor Mayol. Asimismo, también son posibles “problemas de privacidad y de espionaje científico”. En el Hospital de Los Ángeles, en California, Estados Unidos, se ha producido ya “el secuestro de alguna historia clínica electrónica, pero el riesgo es para cualquiera. Cuanto más digitalizado, más vulnerabilidades se producen”, advierte Julio Mayol. Todo ello daría lugar al bloqueo del acceso a la información clínica de los pacientes en tiempo y forma y, por lo tanto, a problemas en el retraso de la atención médica. Además, también puede afectar a la seguridad de la práctica profesional.
RECOMENDACIONES DE LOS EXPERTOS
Para la realización del estudio de Enisa se llevaron a cabo entrevistas a un panel de expertos de varios países, entre los que se encuentra el español Julio Mayol, hasta concluir una serie de recomendaciones de las que el cirujano del Clínico San Carlos destaca tres: “Las organizaciones sanitarias deben definir criterios de seguridad en tecnologías de la información para aplicaciones del Internet de las Cosas; los hospitales deben identificar y mapear cómo se conectan sus dispositivos entre ellos y con Internet, para tomar las medidas de protección adecuadas; y los fabricantes tienen que incorporar las soluciones de seguridad necesarias”.
Con respecto a este último punto, este especialista señala que es fundamental introducir la seguridad desde el diseño de los equipos y las soluciones tecnológicas, “algo que no se debe llevar a cabo a posteriori, como se está haciendo ahora, a base de parches”. La seguridad debe estar en el pliego de contratación.
EL CASO DE ST. JUDE MEDICAL
La compañía St. Jude Medical se encuentra en el punto de mira por un fallo de ciberseguridad en sus marcapasos. La Agencia Norteamericana del Medicamento (FDA, en sus siglas en inglés) ha publicado una alerta que establece que los transmisores Merlin@home de conexión a estos dispositivos podrían ser manipulados y parados a distancia.
Concretamente, estos transmisores se conectan a los marcapasos por radiofrecuencia para recoger sus datos y la información almacenada para transmitírsela los médicos de los pacientes vía Internet. De esta manera, se puede realizar un seguimiento de su evolución. No obstante, como advierte el regulador americano, el sistema informático de los transmisores permitiría que un usuario no autorizado accediera al marcapasos a través de la radiofrecuencia para cambiar su ritmo o gastar su batería.
Eso sí, la FDA también ha indicado que por el momento no se ha conocido ningún caso que se haya visto afectado por este tipo de vulnerabilidades cibernéticas. Desde St. Jude Medical ya han anunciado nuevas actualizaciones de seguridad cibernética mediante la fabricación de un parche que tiene el objetivo de reducir los riesgos de ciberseguridad.