Las nuevas amenazas que afronta la sanidad

Transcurridos más de dos años desde el inicio de la pandemia, con más de 6 millones de víctimas mortales y casi 500 millones de contagios registrados, el desarrollo del entorno sanitario se ha convertido en una de las claves principales para la recuperación de la estabilidad mundial.

Más allá del Covid, la rápida aparición y adopción de nuevas tecnologías en el entorno sanitario está permitiendo acelerar las capacidades preventivas y curativas en todos los campos de la sanidad.

Desde la elaboración de medicamentos en laboratorios en tiempo récord y su posterior producción masiva, hasta el desarrollo de implantes médicos inimaginables hace una década, pasando por el despliegue de dispositivos para el tratamiento remoto de enfermedades y la incorporación en los hospitales de tecnologías para el diagnóstico mucho más precisas e, incluso, la intervención quirúrgica a distancia mediante dispositivos de realidad aumentada.

Sin embargo, fruto de esta evolución también surgen nuevos riesgos e incidentes para la salud de las personas derivados de errores en tecnologías no suficientemente probadas y de su exposición frente a ciber amenazas, como el robo de información de pacientes, la alteración malintencionada de procesos y de dispositivos o la disrupción de servicios médicos.

Manipular un marcapasos remotamente, adulterar la composición química de un medicamento, reprogramar las dosis de un tratamiento médico suministrado de forma automática o provocar la caída de todos los sistemas en un hospital son ejemplos y, al mismo tiempo, realidades ya vividas, que cobran más protagonismo a medida que se extiende el uso de todas estas tecnologías y crecen los intereses de los actores involucrados.

El conflicto bélico de Rusia y Ucrania es un claro ejemplo del potencial de riesgo. Ambos países han lanzado ciberataques sobre los sistemas satelitales enemigos con la intención de limitar tanto la visibilidad operativa como la capacidad estratégica del adversario. De igual forma, se ha detectado un incremento significativo de ciberataques desde Rusia contra todo tipo de infraestructuras aliadas a Ucrania (financieras, energéticas, gubernamentales y sanitarias) y no se descarta la planificación y ejecución de ciberataques dirigidos por cualquiera de las partes contra objetivos individuales en los que bien podría contemplarse la alteración remota de dispositivos o tratamientos médicos personales, sobrepasando las líneas de seguridad enemigas de forma silenciosa y sin dejar rastro.

¿Realidad o ficción? La conectividad entre todos los sistemas y dispositivos utilizados en el entorno sanitario, unida a la adopción de nuevas tecnologías especializadas poco probadas hace que las infraestructuras y soluciones de ciberseguridad desplegadas actualmente no sean suficientes para protegerlas.

Basta con indicar que el Centro Nacional de Inteligencia (CNI) ha alertado recientemente de que la sanidad pública española ha sufrido hasta 38 ciberataques de peligrosidad muy alta en los primeros meses de 2022. Según las cifras ofrecidas, el número total de incidentes detectados en el sistema público de salud español en el año 2021 y los primeros meses de 2022 asciende a 3.393.

En cuanto a los costes asociados a una brecha de seguridad, según una encuesta en la que han participado más de 130 hospitales de EE UU, las grandes instalaciones sufrieron un promedio de más de 6 horas de inactividad a un coste de 21.500 dólares por hora. En comparación, los hospitales de tamaño mediano promediaron casi 10 horas a 45.700 dólares por hora. Sin contar el potencial coste humano derivado de la inactividad del centro hospitalario.

La situación preocupa entre los socios europeos, que ya han aprobado la creación de un escuadrón de la salud para que actúe de defensa y combata los ciberataques a hospitales. En este sentido, se contratará a 121 profesionales para protegerse de la ola de ataques informáticos que se han incrementado durante la pandemia. Es evidente que esta medida no será suficiente para contrarrestar el incremento de riesgos y ciber amenazas sobre el entorno sanitario, pero sin duda, es un paso en la dirección correcta.

Las particularidades del entorno sanitario hacen que, incluso, la aplicación de una estrategia de seguridad en el ciclo de vida completo de todos los servicios, infraestructuras y tecnologías desplegadas (desde su diseño, producción, despliegue, operación, mantenimiento, hasta su retirada) no sea suficiente si está orientada a sistemas convencionales de la información (ordenadores, servidores, smartphones, servicios en nube y telecomunicaciones), al no contemplar la protección de dispositivos médicos especializados distribuidos, etiquetados ya como IoMT: internet of medical things. Por ello, aunque ya existen algunos productos especializados de ciberseguridad para la protección de dispositivos IoMT, la diversidad de fabricantes y de tecnologías médicas emergentes exceden las capacidades de las soluciones de seguridad desarrolladas hasta la fecha.

De esta manera, es imprescindible tener una visibilidad completa de todos los dispositivos tecnológicos existentes dentro de la red del hospital, de forma que se puedan combinar medidas de protección junto con la detección de comportamientos anómalos tras un tiempo de análisis o aprendizaje del comportamiento estándar del hospital. Llegados a este punto, nos encontramos una dificultad añadida en los ya mencionados IoMT, ya que existen limitaciones para aplicar medidas de seguridad en ellos, tanto a nivel de los propios dispositivos, como por la garantía que ofrecen los fabricantes. Por ello, se debe plantear un modelo de seguridad que considere controles adicionales en la capa de red, de forma que se puedan compensar las limitaciones de los IoMT.

Asimismo, las capacidades de respuesta y recuperación ante ciber incidentes son esenciales junto con los planes de continuidad para reducir los posibles efectos adversos. No hay motivo para no conectar el entorno sanitario, o para ralentizar el progreso y la innovación que requiere de conectividad de los dispositivos IoMT, siempre y cuando se haga considerando la ciberseguridad en el diseño y ciclo de vida útil de los dispositivos.

Pablo Municio es socio de Risk Advisory responsable de ciberseguridad IoT de Deloitte