11 jul 2016

La industria de la salud, blanco de delincuentes cibernéticos

El año pasado durante la conferencia de seguridad conocida como DerbyCon, investigadores hicieron notar que miles de dispositivos médicos tales como máquinas de rayos X, escáneres de resonancia magnética y bombas de infusión de medicamentos eran vulnerables a ser hackeados (video).

Inexplicablemente, muchas organizaciones todavía al día de hoy hacen uso de contraseñas y configuraciones proporcionadas por defecto de parte de los fabricantes y varios de estos dispositivos estaban y han estado conectados a internet, lo que representa no sólo un riesgo para la salud de los pacientes, sino también un medio para comprometer información personal.

Recientemente abordamos en esta publicación como el ransomware había tomado como objetivo de manera secuencial a una lista de hospitales y esto no ha dejado de ser una constante, ya que uno más ha sido golpeado con un ataque de este tipo: En esta ocasión el objetivo fue el Hospital Kansas Heart en Wichita. Lo interesante y a diferencia de otros eventos recientes relacionados con el secuestro y extorción de la información, es que los atacantes no cumplieron totalmente con su parte del trato después de recibir el primer pago por el rescate, ya que estos sólo restablecieron de manera parcial el acceso a los archivos y exigieron más dinero para descifrar los datos restantes de manera posterior.

Entidades hospitalarias bajo riesgo

Recientemente la firma de seguridad TrapX Security liberó una actualización a un reporte conocido como "MEDJACK.2 – Hospitales bajo Estado de Sitio", el cual pone de manifiesto hallazgos relacionados con incidentes de seguridad detectados a finales del 2015 y principios del 2016 sobre diversas entidades del sector salud, entre los que se destacan la detección de una multitud de puertas traseras (backdoors) y conexiones de redes de bots (botnets), operadas bajo el control de los atacantes.

El reporte resalta que el malware observado en estas campañas —que además tenían la característica de propagarse lateralmente— nunca fue detectado por ninguna solución en el punto final y como el arsenal malicioso empleado para este tipo de ataques fue seleccionado de manera específica para explotar versiones anteriores de Windows, permitiendo encontrar incluso variantes del infame e inolvidable malware Conficker (2008).

Miriam Padilla, subgerente de certificación en protección de datos personales en NYCE, destaca que es fundamental que las instituciones de salud públicas y privadas cuenten con una estrategia en materia de ciberseguridad y protección de datos personales, dado que realizan un tratamiento de datos personales sensibles que en su mayoría se usan, comparten o almacenan, en dispositivos obsoletos o medios bajo controles de seguridad deficientes.

En México se han diseñado estrategias para renovar mediante el uso de tecnología al sector Salud (tanto público como privado), sin embargo; el proceso de desarrollo, integración y adaptación ha sido lento y con grandes retos en materia de seguridad, aunado a problemas organizacionales y de resistencia al cambio. Igualmente para nuestro país, la implementación del expediente clínico electrónico (ECE) representará un reto mayor cuando la palabra seguridad informática venga a la discusión.

Un historial de brechas

El fabricante TrapX destaca en su reporte, que el atacante al estar habilitado para instalar una puerta trasera dentro de los hospitales puede poner en marcha su campaña maliciosa y en silencio poder filtrar datos sensibles e igualmente causar un daño significativo usando un ataque de ransomware. El mantener la persistencia para el atacante por meses y sin ser detectado, fácilmente le permite obtener información de los pacientes a su libre antojo.

A pesar de que el reconocido "Reporte de investigaciones de violaciones de datos del 2016" de la compañía Verizon, reporta brechas confirmadas en mayor cantidad para el sector financiero o de retail —como tradicionalmente ha sucedido—; la evidencia de MEDJACK2 confirma que los atacantes sofisticados están concentrados plenamente en las instituciones de salud, ya que el costo de información de un paciente puede alcanzar un valor alto en dólares en el mercado negro.
Por su lado, el fabricante Symantec en su "Informe sobre las amenazas de seguridad de Internet del 2016", menciona que el sector salud reportó 120 incidentes relacionados con brechas de datos durante el 2015 y esto es palpable, ya que simplemente de las siete mayores violaciones de información de dicho año, tres fueron dirigidas directamente a organizaciones de dicha vertical: Excellus BlueCross BlueShield con 10 millones de registros comprometidos; Premera Blue Cross con 11 millones de registros afectados y Anthem Blue Cross, con 78.8 millones de registros comprometidos y altamente sensibles de pacientes.

Ponemon Institute acorde a su “Sexto Estudio de Referencia Anual sobre la privacidad y seguridad de los datos de salud” estima que las violaciones de datos cuestan a la industria de la salud alrededor de $6,200 millones de dólares y donde casi 90% de las organizaciones de salud representados en su estudio sufrieron una violación de datos en los últimos dos años, y casi la mitad o el 45% tuvo más de 5 violaciones de datos en el mismo período de tiempo.

Miriam Padilla advierte que de no proteger los datos del estado de salud puede ocasionar daños significativos en los titulares o dueños de los mismos: desde afectaciones a su privacidad, discriminación o incluso daños en su integridad física, sobre todo por la tendencia al alza de las brechas dirigidas a dicho sector y por los datos personales tratados, que en mercados negros tienen valores que hacen cada vez más atractivo para los ciberatacantes su comercialización.

Estudios del Instituto Ponemon y Symantec del año 2015 señalaron que la información de un expediente clínico pueden llegar a valer hasta $150 dólares por expediente, así como otros datos, entre ellos: el nombre con un valor de $3.9 dólares por registro, la localización GPS en $16 dólares, el historial de crédito en $30 dólares, número telefónico $5.9 dólares; lo que hace evidente el gran negocio que representa para la ciberdelincuencia organizada la comercialización con grandes volúmenes de datos personales.

¿Qué tiene de especial el sector salud?

El aumento en el gasto de la salud de los Estados Unidos encabezó el crecimiento de la economía, alcanzando este el 17.5% del Producto Interno Bruto (PIB) durante el 2015. El ecosistema que proporciona asistencia sanitaria en la unión americana incluye aproximadamente 900, 000 médicos repartidos en más de 225, 000 prácticas. Además, hay más de 2,700,000 enfermeras registradas, asistentes médicos y personal administrativo que apoyan tanto en hospitales como consultorios médicos.

TrapX Labs cree que la gran mayoría de los hospitales en el mundo continúan siendo afectados por MEDJACK y MEDJACK.2. De igual modo, la firma de seguridad estima que los registros médicos pueden alcanzar hasta un valor de $10 a $20 dólares por registro en el mercado negro en comparación con los $ 5 dólares de un registro de perfil financiero.

Fuente: NetMedia

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!