Seguridad digital en salud: riesgos para centros médicos, clínicas y consultas
Seguridad digital en salud: riesgos para centros médicos, clínicas y consultas
Implementar tecnologías de seguridad digital en salud es una tendencia que busca garantizar la eficiencia, calidad, disponibilidad y privacidad en la prestación de los servicios hospitalarios.
En 2019, una empresa que provee la red de imagenología a múltiples hospitales sufrió una caída de sus servicios durante varios días tras recibir un ataque de ransomware. Así como este, hay muchos otros ejemplos relacionados con clínicas y laboratorios que han sufrido robos de propiedad intelectual, suplantación de identidad, secuestro de datos críticos, etc. Debido a esta situación es que se han vuelto cada vez más importantes las estrategias de seguridad digital en salud.
El sector público invierte en seguridad informática entre el 3% a 4% del presupuesto total de TI. El sector privado invierte entre el 8% y el 10% de dicho presupuesto. Así lo indica el estudio La evolución de la ciberseguridad en el sector de la salud de Deloitte [1]. Poco a poco, se han estado desarrollando iniciativas públicas y privadas y regulaciones legales que buscan optimizar todo el ecosistema de seguridad digital en el sector salud.
Esto no solo es aplicable a centros médicos, sino también a empresas que comercializan dispositivos tecnológicos móviles para la salud, como monitores de glucosa, de presión arterial, etc.
¿Qué es la seguridad digital en salud?
La seguridad digital en salud es la práctica de proteger los sistemas, las redes y los datos en el ámbito de la atención médica contra accesos no autorizados, ataques cibernéticos y otras amenazas digitales.
Esto incluye la protección de la información de salud de los pacientes, como historiales clínicos, registros médicos y datos personales sensibles. También, incluye la protección de la información del centro hospitalario, como datos financieros, información de recursos humanos, propiedad intelectual, inventarios y suministros médicos, etc.
Lo recomendable es que la seguridad digital en hospitales se implemente bajo el modelo de políticas de seguridad conocido como “CIA” (Confidencialidad, Integridad y Disponibilidad) [2]. Este consiste en los siguientes pilares:
- Confidencialidad (Confidentiality): garantizar que la información solo esté disponible para las personas autorizadas, evitando que usuarios no autorizados accedan a datos sensibles.
- Integridad (Integrity): asegurar que la información no sea alterada o modificada de manera no autorizada. Esto implica proteger los datos de cambios indebidos, ya sean intencionales o accidentales, para que la información permanezca exacta y confiable.
- Disponibilidad (Availability): velar que la información y los sistemas estén disponibles, accesibles y funcionando correctamente cuando los usuarios autorizados lo necesiten. Para ello hay que prevenir interrupciones en el acceso a los sistemas y datos.
Riesgos de seguridad digital en hospitales y centros médicos
Existen múltiples riesgos de seguridad digital en los hospitales que pueden tener consecuencias graves para sus operaciones e, incluso, para la salud de sus pacientes. Entre los más críticos se encuentran:
- Ataques con ransomware: consiste en la infección de los sistemas del hospital con un malware que cifra los datos y exige un rescate (principalmente monetario) para su liberación. Puede paralizar las operaciones hospitalarias, impidiendo el acceso a fichas de pacientes, sistemas de administración y otros datos cruciales. También, puede impedir el acceso a equipos médicos importantes o a resultados de exámenes clínicos [3].
- Suplantaciones de identidad o phishing: se realizan principalmente mediante correos electrónicos o mensajes que parecen legítimos, pero que buscan engañar al personal sanitario o administrativo para que revele información sensible, como credenciales de acceso médico o datos financieros. Esto da lugar a brechas de seguridad graves que suelen terminar en accesos no autorizados a sistemas internos críticos.
- Ataques de Denegación de Servicio (DDoS): estos ataques buscan saturar los sistemas del hospital con un volumen masivo de tráfico, haciéndolos inaccesibles. Un DDoS puede impedir el acceso a servicios esenciales en línea como la programación de citas, los sistemas de comunicación interna o incluso aplicaciones de telemedicina, interrumpiendo gravemente las operaciones hospitalarias.
Desafíos de la seguridad digital en la salud
Uno de los objetivos de la seguridad digital en salud es evitar que estos 4 principios bioéticos se vean afectados a causa de ataques informáticos. Para prevenir estos problemas y garantizar la protección de la información de los pacientes, los hospitales deben superar una serie de desafíos internos, entre los que destacan los siguientes:
- Cumplimiento normativo: los hospitales deben cumplir con regulaciones estrictas que exigen la protección de la información de salud de los pacientes. Esto incluye la implementación de medidas de seguridad específicas, la gestión de consentimientos y la preparación para auditorías de seguridad informática. A pesar de que este cumplimiento normativo pueda ser complejo y costoso, el incumplimiento por otra parte podría resultar en sanciones severas y daños a la reputación de la institución. En este sentido, es recomendable tener en cuenta que las estrategias de seguridad digital en salud no solo deben abarcar el aspecto tecnológico, sino también el jurídico y el administrativo.
- Acceso interno no autorizado: a pesar de las políticas de seguridad, evitar el acceso no autorizado a la información por parte del personal interno sigue siendo un desafío significativo. Esto puede ocurrir por abuso de privilegios, errores humanos o la falta de controles adecuados. La dificultad radica en equilibrar la necesidad de acceso para brindar una atención efectiva con la protección informática contra accesos indebidos.
- Interoperabilidad de los sistemas: la necesidad de que los sistemas de información sanitaria se comuniquen entre sí para compartir datos del paciente presenta un desafío para la seguridad digital. Los sistemas interconectados pueden tener diferentes niveles de seguridad y vulnerabilidades. Esto aumenta las superficies de ataque, las brechas y el riesgo de exposición de datos durante la transferencia o el acceso entre plataformas médicas.
- Anonimización y uso secundario de datos: garantizar la anonimización de los datos del paciente es clave para proteger la privacidad cuando se utilizan para investigaciones, estudios clínicos o análisis de big data. Sin embargo, hacer que los datos sean verdaderamente anónimos y no puedan ser reidentificados es un desafío técnico significativo. Además, gestionar el uso secundario de estos datos sin comprometer la privacidad y cumpliendo con las regulaciones añade otra capa de complejidad a las iniciativas internas de seguridad digital en salud.
Ejemplos de ciberataques a hospitales
Para entender mejor el impacto de las brechas de seguridad, veamos algunos ejemplos de ciberataques a hospitales:
- En Alemania, un ciberataque al Hospital Universitario de Düsseldorf causó la muerte de una paciente al afectar los sistemas vitales a los cuales estaba conectada. Por tanto, la policía tuvo que gestionar el incidente como un homicidio [5].
- En España, un ciberataque al Hospital Clínic de Barcelona a través de ransomware logró la extracción, el secuestro y la venta de datos clínicos de miles de pacientes, de investigaciones y de trabajadores [2].
- En Francia, un ciberataque al Hospital de Corbeil-Essonnes ocasionó la cancelación de las operaciones intensivas y neonatales durante varias semanas [6].
¿Qué se hace en la seguridad digital en salud? (recomendaciones prácticas)
En los proyectos de seguridad digital en la salud se busca principalmente abordar la protección de los datos y sistemas desde diferentes perspectivas estratégicas. En este contexto, la mayoría de investigadores de esta área recomienda implementar las siguientes acciones de seguridad en los hospitales [7]:
- Definir políticas de seguridad digital hacia los empleados. Deben ser directrices claras y obligatorias para todo el personal sanitario, que incluyan la gestión de contraseñas, el uso seguro de dispositivos y redes, la formación en detección de amenazas como phishing, y la regulación del acceso a datos sensibles. Estas políticas deben ser comunicadas regularmente y actualizadas según las nuevas amenazas y mejores prácticas del sector.
- Establecer métodos de evaluación de riesgos. Es necesario realizar evaluaciones periódicas para identificar y analizar posibles amenazas y vulnerabilidades en los sistemas y procesos del hospital. Esto permite priorizar las áreas de mayor riesgo y desarrollar estrategias de mitigación específicas y oportunas.
- Implementar servicios de prevención de intrusiones. Utilizar sistemas IPS que monitoricen el tráfico de red y detecten actividades sospechosas o no autorizadas en tiempo real. Estos servicios ayudan a prevenir ataques antes de que puedan causar daño significativo, bloqueando automáticamente amenazas potenciales hacia el ecosistema del hospital.
- Realizar pruebas de penetración. Es recomendable simular ciberataques controlados para identificar y corregir vulnerabilidades en los sistemas hospitalarios antes de que sean explotadas por atacantes reales. Las pruebas de penetración se deberían realizar regularmente para garantizar que las defensas se mantengan efectivas y el personal atento frente a nuevas amenazas.
- Hacer auditorías de red. Llevar a cabo auditorías profundas de la infraestructura de red para identificar posibles puntos débiles y garantizar que las configuraciones sean seguras. Estas auditorías permiten verificar el cumplimiento de las políticas de seguridad digital en la salud y detectar configuraciones incorrectas o peligrosas.
- Instalar firewalls. Los firewalls son claves para controlar y filtrar el tráfico de red entre el hospital y redes externas, así como entre diferentes segmentos internos (departamentos médicos, equipos hospitalarios, etc.). Así, la seguridad por capas de los firewalls ayuda a bloquear accesos no autorizados y proteger la red de ataques externos e internos.
- Utilizar sistemas de monitoreo de registros. Implementar herramientas que recojan y analicen los registros de eventos en los sistemas hospitalarios, permitiendo la detección temprana de comportamientos anómalos o potenciales incidentes de seguridad. Esto facilita la identificación y respuesta rápida a amenazas en desarrollo.
- Verificar regularmente los archivos críticos. Es importante establecer procesos para revisar y asegurar periódicamente los archivos y datos críticos del hospital, para asegurar que estos se mantengan íntegros y disponibles. Esto incluye la verificación de copias de seguridad, la detección de alteraciones no autorizadas y la protección contra ataques como el ransomware.
Otro aspecto clave a tener en cuenta al implementar estrategias de seguridad digital en salud es la necesidad de poder agilizar los procesos burocráticos. De acuerdo con WIRED, se ha comprobado que la burocracia es uno de los factores que más ralentizan la recuperación de los hospitales luego de sufrir un ciberataque [8].
Esto se debe a que, después de un ataque, cada hospital debe invertir una gran cantidad de tiempo, dinero y esfuerzo en la gestión burocrática hacia proveedores, abogados, entre otros. Por ejemplo, en el caso de los proveedores externos, la gestión suele ser bastante complicada debido a la solicitud por parte de ellos de cartas de garantía, documentaciones técnicas y otros recursos. Todo esto antes de restablecer los servicios prestados hacia el hospital.
Controles de seguridad digital que deben de aplicarse en un hospital
De manera complementaria a las acciones estratégicas anteriores, otras técnicas muy específicas para potenciar la seguridad digital en un hospital pueden ser las siguientes:
- Establecer controles de acceso a los dispositivos médicos: medidas que limiten el acceso a dispositivos médicos interconectados solo al personal autorizado, utilizando autenticación multifactor y permisos basados en roles.
- Implementar mecanismos de notificación por parte de los usuarios: sistemas que permitan a los empleados reportar rápidamente incidentes de seguridad o actividades sospechosas que logren identificar durante sus jornadas.
- Diseñar un plan de contingencia que contemple los dispositivos médicos: que incluya protocolos específicos para mantener operativos los dispositivos médicos en caso de un ciberataque o fallo del sistema.
- Desarrollar programas de capacitación al personal: formación continua a todo el personal sobre políticas de privacidad, técnicas de prevención de fugas de datos y el uso seguro de plataformas de comunicación como correos y redes sociales.
La implementación de estrategias robustas de seguridad digital en la salud es fundamental para proteger no solo la información sensible de los pacientes, sino también la integridad operativa de los hospitales.
Fuentes bibliográficas sobre seguridad digital en salud:
- Deloitte: La evolución de la ciberseguridad en el sector de la salud.
- NCBI: Ciberseguridad y uso de las TIC en el Sector Salud.
- American Hospital Association: La importancia de la ciberseguridad para proteger la seguridad del paciente.
- Agencia de la Unión Europea para la Ciberseguridad (ENISA): Panorama de amenazas – Sector Salud.
- BBC: Policía realiza investigación por homicidio tras hackeo a hospital alemán.
- France 24: Hospital francés suspende operaciones después de un ciberataque.
- NCBI: El estado de la investigación sobre los ciberataques contra los hospitales y las mejores prácticas disponibles.
- WIRED: La burocracia empeora los ataques de ransomware a los hospitales.