El Servicio Gallego de Salud recurre a “hackers” rehabilitados para simular ataques y blindar su seguridad

Los ciberataques se han multiplicado y los servicios sanitarios se han convertido en un blanco jugoso para estos delincuentes por ser un sector crítico en el que pueden hacer mucho daño además de manejar datos e información muy sensible. El ataque sufrido por el Hospital Clínic de Barcelona a principios de este año da cuenta de la gravedad de estos incidentes. Por eso el Sergas ha decidido reforzar su ciberseguridad con una estrategia en la que invertirá 10 millones de euros. Entre otras medidas, para asegurarse de que no queden brechas en sus sistemas recurrirá a consultoras externas que cuentan con expertos, que suelen ser hackers rehabilitados, que simulan ataques para detectar posibles vulnerabilidades y así atajarlas a tiempo.

Ya están en marcha inversiones por 5,4 millones de euros y la previsión es dedicar 4,3 millones más en los próximos dos años. “Con estos fondos la Xunta pretende proteger el sistema sanitario público con el objetivo de evitar ataques informáticos como, por ejemplo, el sufrido este año en el Hospital Clínic de Barcelona”, explica Sanidade. En este caso, la información del hospital fue secuestrada y provocó temporalmente la cancelación de los servicios de urgencias, de laboratorio y de farmacia y, a continuación, se hicieron públicos parte de esos datos.

Lo primero que hizo el Sergas fue hacer un estudio de vulnerabilidades para detectar los puntos de mejora. “Estábamos en una situación de seguridad media y ahora podemos decir que tenemos una situación buena”, explica el jefe del Servicio de Protección de Datos y Gestión del Servicio de Tecnologías de la Información de la Consellería de Sanidade, Jorge Prado.

Sin embargo, nunca hay cero riesgos y siempre habrá brechas por las que intentarán colarse los ciberdelincuentes. Por eso, entre las medidas adoptadas dentro de esta estrategia está la de realizar pentesting, que consiste en atacar diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en el mismo.

“Simulamos nosotros mismos los ataques que nos harían y para eso lo que tienes que hacer es contratar a gente muy experta. Lo hacemos a través de servicio de consultoría porque son servicios de altísima especialización que se cotizan muy caros”, explica Jorge Prado. Se recurre a personal que tiene experiencia haciendo este tipo de ataques y que se han rehabilitado. Se busca además a expertos que tengan experiencia en distintos sectores, que vayan rotando por empresas y tengan “una visión ampliada” de por dónde pueden ir los ciberataques.

“Su función es buscar las vulnerabilidades para ver cómo reaccionaría el sistema”, recalca. Para ello se hacen dos tipos de exámenes: uno interno y otro externo.

En el primero el propio Sergas da acceso al experto al sistema. “La mayor parte de los ciberataques, el 90 por ciento, suceden porque el ciberdelincuente suplanta la identidad de alguien que está autorizado a entrar dentro de la red”, explica el jefe de Protección de Datos del Sergas. El exhacker contratado por la Xunta busca entonces los fallos de seguridad desde dentro.

En el pentesting externo se analiza como acceder al sistema desde fuera. El responsable de Sanidade advierte del “sorprendente nivel de sofisticación” de los ciberdelincuentes. “El cibercrimen mueve más dinero que todas las principales actividades delictivas juntas: el narcotráfico, el tráfico de armas, de personas...”

“El cibercrimen mueve más dinero que todas las principales actividades delictivas juntas: el narcotráfico, el tráfico de armas, de personas...”

Jorge Prado

— Jefe de Protección de Datos y Gestión de Tecnologías del Sergas

Una de las técnicas que utilizan para orquestar ciberataques es la suplantación de identidades bien de funcionarios o de proveedores externos. Así, de forma previa pueden llegar a hacer un seguimiento a determinadas personas a través de redes sociales, de su móvil o de la información publicada en boletines oficiales.

Identidades

Precisamente por eso el refuerzo de las identidades digitales es otra de las medidas incluidas en la estrategia de ciberseguridad del Sergas. Los empleados de los servicios sanitarios disponen de una tarjeta con un certificado que está además protegida por una contraseña. El objetivo, según explica Jorge Prado, no es solo aumentar las garantías en los sistemas de acceso sino también que sea más fácil para los usuarios. “Queremos agilizar la identificación porque si pones unas restricciones muy fuertes te puedes encontrar con que la gente no los use”, aclara.

Además el Sergas ha adoptado medidas para restringir la ejecución de programas, que puedan instalarse sin autorización y por los que se puedan colar los ciberdelincuentes. Y se blindará frente a los ataques de denegación de servicio, que, por ejemplo, buscan hacer colapsar las webs o los sistemas informáticos.

Los ciberataques a hospitales crecieron exponencialmente tras la pandemia

La modernización tecnológica de la sanidad también ha aumentado su vulnerabilidad frente a ciberataques. Prácticamente todo en un hospital está conectado a un ordenador y además han aumentado los puntos de acceso a la red. La digitalización en la sanidad se aceleró tras la pandemia como vía para prestar el servicio y reducir la presencialidad.

Esto ha puesto a los hospitales en el punto de mira de los ciberdelincuentes. Se calcula que estos incidentes se han multiplicado por cinco.

En España todavía está reciente el caso del Hospital Clínic de Barcelona donde los ciberdelincuentes secuestraron información provocando cancelación de servicios de urgencias y paralizando las áreas de farmacia o laboratorio. Algunos de estos datos terminaron haciéndose públicos.

Pero ya en 2020 el Hospital de Torrejón fue atacado por un virus que bloqueó los sistemas hasta el punto de cerrar el acceso a las historias clínicas de los pacientes.

En 2021 los servicios de salud de Irlanda también se vieron afectados y el pasado verano otro ciberataque obligó a cerrar varios hospitales de EEUU. Y hace solo unos días el Centro Criptológico Nacional informaba de que más de diez hospitales de las regiones alemanas de Renania-Palatinado y Sarre sufrieron la paralización de sus sistemas debido a un ciberataque realizado a través de un malware.

Suscríbete para seguir leyendo