Los hospitales aprueban en ciberseguridad, pero necesitan mejorar

Los expertos achacan al factor humano más de la mitad de los riesgos

Hospital La Paz de Madrid.
Hospital La Paz de Madrid.

¿Están protegidos los hospitales españoles de riesgos cibernéticos? En líneas generales, sí lo están, pero… siempre hay un pero. “Los riesgos de los hospitales son los comunes a cualquier centro o empresa que utiliza tecnología digital, aunque tienen vulnerabilidades propias por la elevada sensibilidad de la información que manejan y por los softwares con los que cuentan, que, en muchos casos, no están adaptados a la ciberseguridad actual”, asegura Alberto Francoso, jefe de análisis del Servicio de Ciberseguridad del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), dependiente del Ministerio del Interior.

“No tienen más riesgos que otros sectores, pero lo cierto es que los ataques informáticos se han multiplicado en los últimos años en los hospitales, al igual que en el resto, porque lo digital también se ha multiplicado”, señala Marcos A. Lozano, coordinador de empresas y profesionales del Instituto Nacional de Ciberseguridad (Incibe), organismo del Ministerio de Economía.

Los profesionales más implicados con la actividad habitual de los centros hospitalarios creen que no hay que alarmarse, pero aún “hay mucho que mejorar porque los hackers van por delante y muy deprisa”, según el doctor Carlos Mur de Viu, gerente del Hospital Universitario de Fuenlabrada (Madrid), donde se ha realizado un estudio piloto en esta materia. Dice que, por ejemplo, “en sanidad no se aprovecha la oportunidad que brinda el big data”.

Terrorismo, extorsión y chantajes son las principales causas de ciberataques al sector

Para Juan Díaz, de la Sociedad Española de Informática de la Salud, “el factor humano está detrás del 60% de los riesgos de seguridad informática”. Además, añade, “las medidas de seguridad se suelen dejar siempre para después, pues primero se atienden los equipamientos, las maquinarias, etcétera”. “La prevención de fuga de información está en manos de los propios centros”, agrega Marcos A. Lozano.

La vulnerabilidad de los hospitales viene dada por dos factores: el enorme daño que se causa al paralizar su actividad, con riesgo incluso de muertes de pacientes (caso de ciberataques terroristas) y por la cantidad de datos sensibles con los que realizar extorsiones (el llamado ransonware) o chantajes a las personas tratadas en ellos. El doctor Mur de Viu incorpora una tercera causa, cuya incidencia está aumentando: el espionaje industrial entre marcas.

Y en el caso de los medicamentos son frecuentes las guerras comerciales, así como las falsificaciones, “por lo que se han impuesto muy recientemente normas de trazabilidad de los fármacos”, explica José Manuel Martínez Esmero, responsable de nuevas tecnologías de la Sociedad Española de Farmacia Hospitalaria.

Se prepara un Plan Estratégico Sectorial para la sanidad

Para evitar sustos informáticos en las farmacias de los hospitales, “estamos habilitando canales para que no haya ciberataques y es muy importante el internet de las cosas de la salud (IoMT)”, añade este experto, para quien los hospitales son “un gran campo de pruebas para los hackers, sin olvidar que ahora mismo existe una guerra fría entre las grandes potencias por lograr los mejores algoritmos”.

Iniciativas en marcha

La red hospitalaria pública española, una de las más extensas del mundo, está considerada una “infraestructura crítica” del país, por lo que su protección corresponde al CNPIC. Desde 2010 está vigente el Esquema Nacional de Seguridad para todas estas infraestructuras, por el cual ya hay proveedores tecnológicos que se certifican, “pero ahora estamos trabajando en un Plan Estratégico Sectorial relativo a la sanidad que va a ser muy novedoso”, señala Alberto Francoso. “España es uno de los países más avanzados de Europa en ciberseguridad y estos planes sectoriales pueden servir de modelo también fuera”, añade.

Juan Díaz, por su parte, reclama que se recoja la figura de “un responsable de seguridad, garante del uso informático” en el sector sanitario. Los hospitales privados también entran dentro de las infraestructuras críticas en la medida en que los ciberataques a sus servicios son considerados graves. Este año se publicará una guía de buenas prácticas en cuanto al tratamiento y explotación de datos a la que la red sanitaria privada tiene previsto adherirse.

Contexto actual

Impacto. Un ciberataque puede malograr operaciones quirúrgicas, tratamientos, diagnósticos, la prescripción y el resultado de pruebas, las listas de espera y hasta el funcionamiento de las camas articuladas.

Volumen. Se calcula que un gran hospital de una capital española genera en un año tanta información como la que generan las oficinas de Hacienda de esa misma capital.

Coberturas. En España todavía no están muy extendidas las pólizas de los llamados ciberseguros, que cubren las consecuencias de los ataques informáticos. Tampoco en el sector sanitario.

Notificación. En cualquier sector es obligatorio informar si se han producido incidentes informáticos o si ha habido una brecha de seguridad por cualquier causa.

Derechos. Por la nueva Ley de Protección de Datos y Garantía de los Derechos Digitales, una persona puede consentir el uso de sus datos, en poder de un centro sanitario, para fines de investigación y, en particular, para la biomédica.

Normas