¿Los sistemas médicos están expuestos a ciberataques?

Los peligros se conocen desde hace años y se han hecho intentos para proteger el sistema, pero ¿está el sistema y los pacientes más seguros hoy que en el pasado?

Ransomware que paraliza los sistemas hospitalarios, desactiva los equipos de tomografía computarizada y otros dispositivos médicos evitando que los pacientes reciban tratamiento. Historias clínicas robadas y vendidas al mejor postor. Hackers que toman el control de marcapasos y bombas de insulina. Estados nacionales que atacan la infraestructura médica de todo un país.

Estos son solo algunos de los posibles peligros de seguridad que los expertos dicen que enfrenta el sistema de salud de EE. UU.

Un informe realizado en el 2018 por Symantec, la empresa de ciberseguridad líder en el mundo, sobre “Cyber Security and Healthcare: an Evolving Understanding of Risk” advierte que los ciber riesgos de la atención médica está aumentando, en parte porque los datos médicos se han convertido en un objetivo de gran valor para los ciberdelincuentes. Las organizaciones de salud se han convertido en “objetivos de alto perfil para los llamados ‘hacktivistas’ y estados nacionales”.

Qué opinan los expertos

El Dr. Christian Dameff, médico de la sala de emergencias de la Universidad de San Diego e investigador de ciberseguridad que se especializa en atención médica, asegura que hay un progreso, “pero todavía estamos muy atrasados de donde deberíamos estar, todavía tenemos intrusiones diarias, no hacemos un buen trabajo con la seguridad de los datos, pero al menos estamos empezando a reconocer los problemas y cambiar el rumbo”.

Los sistemas hospitalarios más sofisticados «no tienen una estrategia de ciberseguridad coherente y no es porque no quieran, es porque todavía nadie ha podido establecerla, no se puede simplemente tomar prestado un manual de seguridad de finanzas de otras industrias. El sector de la salud es mucho más complejo que otros cuando se trata de ciberseguridad”. Los dispositivos médicos como las máquinas de tomografía computarizada suelen usar sistemas operativos desactualizados como Windows XP que no pueden protegerse adecuadamente y los grandes sistemas pueden tener cientos de aparatos de este tipo, cada uno con sus propios desafíos de seguridad particulares.

Además, añade que en otros sectores, como la industria financiera, es fácil saber cuándo uno sufrió un ataque: el dinero desaparece, pero en la atención médica, las personas se enferman y mueren todos los días y puede ser difícil saber las razones de ello, por lo tanto, no hay señales de advertencia evidentes que indiquen que un hacker ha invadido un sistema.

“Muchas vulnerabilidades no tienen nada que ver con los sistemas médicos mismos, sino con el software comercial, como las bases de datos que no están protegidas adecuadamente”. El impacto de que sean pirateados es más serio que si sucediera en otro sector, explica. Si un hacker destruye todo un sistema hospitalario, significa que no se pueden realizar pruebas vitales y no se pueden administrar tratamientos porque los profesionales médicos no tienen acceso a los datos de los pacientes y los aparatos médicos no funcionarán si falla la infraestructura del hospital.

No al pánico, pero sí a la urgencia

Axel Wirth, arquitecto técnico de Symantec, asegura que a pesar de los innumerables peligros para el sistema de salud, “no es una situación límite, por lo que no debemos entrar en pánico, pero debemos proceder con un sentido de urgencia”.

Por su parte, Wirth asegura que los hospitales aún están en peligro de ser víctimas de ransomware, software malicioso y otros ataques. La complejidad del sistema de salud hace que sea difícil protegerlo, sugiere una serie de soluciones, como que los fabricantes de dispositivos médicos adviertan a los hospitales y a los médicos sobre las vulnerabilidades de los dispositivos, que los hospitales incluyan requisitos de seguridad en los acuerdos de compra con los fabricantes y que se emprendan acciones gubernamentales para garantizar que los nuevos dispositivos cumplan con los requisitos de ciberseguridad, además de la importancia de tener actualizado el firmware de estos aparatos cuando los fabricantes lo recomiendan.

El Dr. Dameff agrega que hay avances en las protecciones informáticas, especialmente por parte de la FDA en los reglamentos de seguridad para nuevos dispositivos médicos, pero en última instancia, cree que la solución a la ciberseguridad médica requiere mucho más que acciones aisladas del gobierno, la industria y los fabricantes. La única forma de proteger al sector de la salud y a los pacientes, es que el gobierno y la industria “traten a nuestro sistema médico como una infraestructura crítica, del mismo modo en que tratan a la red eléctrica, solo así podremos lograr un progreso real para lograrlo”.