info@ecija.com

Sala de Prensa

10 septiembre, 2015
twitter linkedIn

«La seguridad en los hospitales españoles: tu salud y tus datos, ¿en peligro?» artículo de Hoja de Router con la opinión de Daniel López, asociado senior de IT de ECIJA.

Los ataques contra la sanidad estadounidense han aumentado en un 125% en los últimos cinco años. Los cibercriminales hacen un lucrativo negocio con los datos de los pacientes, que pueden usarse para operar bajo una identidad falsa o estafar a las aseguradoras. Aunque en España robar la información confidencial no sea tan rentable, ¿qué mecanismos utilizan los hospitales españoles para que un atacante no pueda conseguir tus datos? Si los dispositivos médicos cada vez estarán más conectados, ¿cómo lograr que sean seguros?

Los sistemas informáticos de la sanidad estadounidense están en el punto de mira de los cibercriminales en los últimos tiempos. La compañía UCLA Health ha reconocido ser víctima de un ciberataque: los atacantes habrían podido acceder a los datos personales y médicos de 4,5 millones de pacientes porque no estabandebidamente cifrados.

No es la primera vez. Los datos de 80 millones de personas se vieron comprometidos a principios de año por un ataque a la aseguradora de salud Anthem, cuando los ciberdelincuentes consiguieron las credenciales de cinco profesionales con accesos de alto nivel al sistema. Poco después, otra compañía de seguros, Premera Blue Cross, hizo un anuncio similar, con 11 millones de pacientes afectados.

Los ciberataques contra la sanidad estadounidense han aumentado en un 125% en los último cinco años, afectan a uno de cada tres estadounidenses y se estima que cuestan anualmente 6.000 millones de dólares (5.300 millones de euros) alsistema de salud, según un reciente estudio del ‘think tank’ Ponemon Institute.

«La buena noticia es que se está invirtiendo en ciberseguridad. El problema es que los atacantes cibernéticos tienen más recursos y están burlando los enfoques existentes», explica Rick Kam, presidente de ID Experts y uno de los autores del estudio.

EL LUCRATIVO NEGOCIO DEL MERCADO NEGRO

Rick Kam nos cuenta que los datos médicos completos de un paciente son más valiosos en el mercado negro que las tarjetas de crédito. Según el FBIse venden por entre 20 y 70 dólares (18 y 63 euros), mientras que una tarjeta puede costar tan solo 5 dólares (4,5 euros).

¿El motivo? Una cuenta bancaria es fácil de cancelar, pero hospitales y aseguradoras no suelen tener un procedimiento claro para ayudar a los pacientes si les roban su información médica. Además, los departamentos de tecnología en sanidad «no están equipados como la banca y las finanzas para hacer frente a estas situaciones, por lo que se están encontrando debilidades que pueden ser explotadas», ha asegurado el experto en seguridad informática Jeff Schmidt.

Los ciberdelincuentes pueden crear una identidad falsa completa y operar con ella o estafar a las aseguradoras gracias a esos datos. Por ejemplo, pueden aprovechar esa identidad para adquirir medicamentos y venderlos posteriormente en la ‘deep web’. Por otra parte, hay que tener en cuenta la gravedad de que se sustraigan datos especialmente sensibles para los pacientes: saber dónde vives no es lo mismo que conocer tu grupo sanguíneo o tus alergias.

En España, todavía no se han dado casos como los de Estados Unidos, ya que los cibercriminales no podrían obtener un beneficio económico con nuestros datos. «Esto no quiere decir que allí estén menos protegidos«, nos explica Rubén Santamarta, analista de seguridad en Reversemode. Este experto nos cuenta que operar con una identidad falsa es más difícil en España. Además, allí se utiliza el Número de Seguridad Social (SSN por sus siglas en inglés) para declarar impuestos, así que con un nombre y un SSN, los cibercriminales lo tienen más fácil paradefraudar al fisco.

Ahora bien, aunque nuestros datos médicos no sean tan golosos a los ojos de un ciberdelincuente, ¿cómo gestionan la seguridad de tu información los hospitales españoles?

La Ley Órganica de Protección de Datos (LOPD) establece que los datos de carácter personal relacionados con nuestra salud deben estar especialmente protegidos con medidas de seguridad de nivel alto. El Reglamento de Protección de Datos 1720/2007 que desarrolla la ley fija que los sistemas de tratamiento y almacenamiento de datos han de someterse a una auditoría interna o externa al menos cada dos años, obliga al cifrado de los datos, detalla que se han de registrar los intentos de acceso y determina protocolos de autenticación de los usuarios.

«Esto no significa que los sistemas de hospitales sean seguros simplemente por implementar las medidas de seguridad que se recomiendan bajo la LOPD», defiende Santamarta. «Todo depende en seguridad de cómo sea de persistente el atacante, si hay un beneficio económico o geopolítico… Siempre va a haber grupos con recursos y tecnología suficiente para, durante un cierto tiempo, intentar robar esos datos».

MEDIDAS DE SEGURIDAD SÍ, PERO TAMBIÉN WINDOWS 2000

En el caso de la Comunidad de Madrid, la Oficina de Seguridad del Servicio Madrileño de Salud se encarga de establecer medidas de acuerdo con la LOPD. En los hospitales hay programas de formación específicos para los profesionales sanitarios, técnicos o administrativos y protocolos de cambio de contraseña en los ordenadores, aunque no nos han precisado cada cuánto tiempo se realizan.

Además de las auditorías de ficheros que fija la ley, se realizan otras auditorías técnicas de seguridad y diagnósticos personalizados varias veces al año, según nos explica José Antonio Alonso, director general de Sistemas de Información Sanitaria de la Consejería de Sanidad de la Comunidad de Madrid.

Arturo Gordo, director del departamento de Seguridad y Sistemas de HM Hospitales, afirma que las auditorías periódicas y los servicios de ‘hacking ético’ que ellos han implementado son útiles para mejorar la seguridad. De hecho, gracias a una empresa externa lograron detectar y resolver un importante agujero de seguridad.

En HM Hospitales también forman a los empleados en seguridad y les recomiendan proteger sus claves como si de su tarjeta de crédito se tratara . «Que no dejen apuntada su contraseña en la pantalla, porque hace unos años era muy común y esto ya se ha ido solucionando», detalla Gordo.

Ahora bien, ¿son seguros los ordenadores que utiliza el personal de los hospitales? Alonso nos detalla que los equipos de los puestos de trabajo de la Comunidad de Madrid funcionan con Windows, aunque no especifica las versiones. Ángel Gil, jefe del Servicio de Informática del hospital Ramón y Cajal, nos comenta que en los puestos de usuario tienen desde Windows 2000 hasta Windows 8.1., aunque están migrando todos los equipos a esta versión. Mientras, en HM Hospitales acaban de terminar la migración de Windows XP a Windows 7.

«Trabajar ahora mismo con Windows 2000 o XP, acceder a páginas web o tenerlo simplemente en red es como tener un ordenador expuesto a todo el mundo. Son sistemas vulnerables por defecto«, critica Rubén Santamarta. Eso sí, considera lógico esperar para instalar el nuevo Windows 10 en estos sistemas por si hubiera problemas de compatibilidad.

¿SE CONTROLA QUIÉN ACCEDE A MIS DATOS?

Gil también nos explica que el acceso a los sistemas de información en el Ramón y Cajal está controlado por perfiles, se filtran los contenidos de internet que pueden consultar algunos usuarios y queda traza de toda la actividad.

«La trazabilidad es muy importante no solo porque obligue la LOPD, sino porque también sirve para delimitar responsabilidades si hubiera alguna mala praxis», afirma Daniel López Carballo, abogado experto en privacidad y tecnologías de la información del  bufete Écija. De hecho, hace dos años, el Tribunal Superior de Justicia de Navarra condenó al Servicio Navarro de Salud a pagar una sanción 125.000 euros por el acceso ilegítimo y masivo del personal sanitario a las fotografías incluidas en el historial médico de una paciente fallecida: se habían realizado casi 3.000 accesos por parte de más de 400 usuarios.

En HM Hospitales, los médicos solo pueden acceder por completo desde su ‘software’ al historial de sus propios pacientes: ven una parte del historial del resto, pero no pueden modificarlo. Algunos jefes de equipo tienen acceso a la información desde fuera del hospital a través de redes VPN, pero en ningún caso queda grabada en el dispositivo que utilicen.

Si algún atacante lograra entrar en la aplicación, « te podrían sacar algún informe, pero tendrían que ir paciente por paciente. Se tirarían horas», explica Arturo Gordo. El único medio para extraer información masiva de sus bases de datos sería realizar un ataque de fuerza bruta «durante bastante tiempo y dentro del hospital», añade, si bien asegura que se encontrarían con dificultades para acceder a ella.

Tanto el Ramón y Cajal como los centros de HM Hospitales cuentan con ‘firewalls’ y cifran las comunicaciones. Eso sí, Ángel Gil puntualiza que el Ramón y Cajal están trabajando actualmente para mejorar en este sentido, especialmente cuando se trata de transmisiones internas. «Los sistemas no cifrados son un vector de ataque muy común», puntualiza Rubén Santamarta.

[…]

Para acceder al artículo completo, click aquí