Información sanitaria: un ‘caramelo’ para los ‘cibersecuestradores’

El instituto ECRI, de Estados Unidos, sitúa en cabeza de su top de riesgos sanitarios para 2018 la ciberseguridad de los sistemas.

Rosalía Sierra. Madrid | rsierra@diariomedico.com | 11/12/2017 00:00

En 2015, la agencia reguladora norteamericana FDA lanzó una alerta sobre ciberseguridad cuando se pirateó la bomba de infusión Symbiq, de Hospira. Un año después, el instituto norteamericano ECRI situó en segundo lugar de su top de retos tecnológicos proteger los sistemas sanitarios ante los ataques de piratas informáticos.

Ni a una ni al otro parece habérsele hecho demasiado caso, dado que durante los últimos dos años se han multiplicado los ataques cibernéticos a servicios y centros de salud, principalmente en forma de secuestros de información (ransomware). Y no es sólo cosa de Estados Unidos: durante la primavera de este año, el ciberataque masivo Wannacry colapsó el sistema sanitario británico y aterrizó en España en forma de secuestro informático de Telefónica.

A pesar de todo, "los centros sanitarios siguen siendo caramelos para los hackers, hay muy poca seguridad", explica a Diario Médico Guillermo Fernández, experto en seguridad de WatchGuard.

En un intento de sacarles los colores, ECRI ha situado este año en cabeza de su ranking de riesgos sanitarios para 2018 -y es la primera vez que aparece en la clasificación- el ransomware.

Se trata de programas que penetran en el sistema y bloquean su funcionamiento, al tiempo que los cibersecuestradores exigen un rescate para desbloquear la información. "Suelen ser rescates pequeños, de unos 500 euros, pero es un tipo de ataque que, lejos de ir a menos, no para de crecer, porque un tercio de los afectados pagan". Incluso, explica Fernández, se han creado empresas que se dedican a mediar entre los secuestradores y las víctimas a cambio de un porcentaje del precio del rescate si consiguen rebajarlo.

Círculo vicioso

Hay casos más jugosos: el centro de salud Hollywood Presbyterian, en California, pagó 17.000 dólares para recuperar el acceso a sus historias clínicas electrónicas, pruebas de imagen y ordenadores.

El problema de la ciberseguridad es que puede convertirse en un círculo vicioso: "A menudo, los ataques se dirigen intencionadamente a centros que tienen un seguro cibernético, que les protege pero que, al mismo tiempo, les permite pagar más". No obstante, aunque "no existe ningún sistema invulnerable", Fernández recomienda protegerse. Y es que los secuestros no son el único riesgo: "Son habituales los robos de información, porque los datos sanitarios son incluso más valiosos en el mercado negro que los bancarios".

Además, la digitalización progresiva de los sistemas sanitarios lleva aparejados peligros: "Los ordenadores y móviles cuentan con distintos parches de seguridad que las compañías van desarrollando, pero esto no sucede siempre con los dispositivos médicos".

Pero en España no pasan esas cosas, se suele pensar. "Lo que ocurre es que no es obligatorio notificar que se ha sufrido un ataque", alerta Fernández. Quizá el panorama cambie en mayo, cuando se adopte la nueva norma europea de protección de datos, que obliga a informar a pacientes afectados y a la Agencia de Protección de Datos antes de 72 horas tras el ciberataque.

Los diez riesgos de 2018 según ECRI

1. Ransomware y otros fallos de ciberseguridad

2. Reciclado defectuoso de endoscopios que expone a los pacientes a riesgo de infección

3. Colchones y mantas infectados por fluidos corporales y contaminantes microbiológicos

4. Alertas perdidas a causa de dispositivos y sistemas con las notificaciones mal configuradas

5. Limpieza inapropiada de dispositivos que puede causar fallos, mal funcionamiento y daño a los pacientes

6. Electrodos quirúrgicos descubiertos mientras están activos que causan quemaduras a los pacientes

7. Uso inadecuado de las herramientas de imagen digital que puede conducir a exposición innecesaria a la radiación

8. Mal uso de los sistemas de administración de medicamentos basados en códigos de barras

9. Fallos en la red de dispositivos médicos pueden causar retrasos o asistencias inapropiadas

10. Adopción lenta de conectores de alimentación enteral más seguros pone a los pacientes en peligro