El Consejo de Ministros ha aprobado este martes el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. El objetivo de esta norma elaborada por la Secretaría de Estado de Seguridad es reforzar la protección de las redes y sistemas de información que son ya cruciales para el desarrollo de la inmensa mayoría de las actividades sociales y económicas actuales, y que están sometidas a graves ciberamenazas.
Entre los sectores más afectados en este sentido destaca el sanitario, un claro objetivo en los últimos años para los ciberdelincuentes. Esto se debe principalmente a que cuentan con una información muy delicada en sistemas informáticos particularmente desactualizados y vulnerables. Por ello, la ciberseguridad se postula como eje principal para proteger la privacidad de los pacientes, garantizar el funcionamiento de los servicios médicos y evitar la manipulación de los datos que podrían poner en riesgo muchas vidas.
Entre los sectores más afectados en este sentido destaca el sanitario, un claro objetivo en los últimos años para los ciberdelincuentes
En cifras, según datos de la Agencia de la UE para la Ciberseguridad (ENISA), el sector sanitario es el que más ataques recibe solo por detrás de las Administraciones Públicas. Más concretamente, suponen el 8% de todos los ciberataques, superando a otros sectores que de primeras parecen más llamativos, como la banca. Esta tendencia que parece ir en aumento demuestra que existen dos principales problemas que deberían ser tratados con la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad, la falta de profesionales cualificados en este ámbito y la escasez de actualizaciones que monitorizan la actividad de las estructuras tecnológicas del centro.
Según han explicado desde el Ministerio de Interior, aquellas entidades públicas o privadas deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes. En el caso sanitario, la complejidad de los equipos médicos que utilizan, la interconexión de sistemas y la rápida obsolescencia de la tecnología sanitaria generan una brecha que aprovechan los ciberdelincuentes y que deberá ser abordada próximamente.
Además, en esta misma línea, el anteproyecto señala que las entidades están obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos. Asimismo, se deberá comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.
El Ministerio de Interior ha explicado que las entidades públicas o privadas deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes
A medida que pasa el tiempo, los ciberataques son cada vez más sofisticados y no es suficiente con proteger los puestos de trabajo y los servidores con antivirus tradicionales. La empresa especializada en soluciones de seguridad, Sophos, contabiliza una cifra récord de este tipo de ciberataques contra organizaciones sanitarias en los últimos cuatro años, con un 67% afectadas de las participantes en el informe ‘El estado del Ransomware en el sector sanitario’.
Este tipo de malware se basa en el cifrado de los archivos de un sistema informático, en este caso, del hospital, y deniega el acceso a su propietario. En ese momento, el atacante exige un pago para el rescate a cambio de la clave para recuperar los archivos. Según miembros de INCIBE (Instituto Nacional de Ciberseguridad), un historial clínico puede valer 1.000 dólares (971,91 euros) en el mercado negro. Un precio que es mucho más alto que una cuenta bancaria, ya que al final puedes llegar a actuar mediando con tu banco, en el caso del historial médico no hay vuelta atrás.