Los hospitales españoles tienen una cuenta pendiente con la ciberseguridad: “Los datos médicos confidenciales pueden estar en peligro”

La filtración masiva de datos personales de los pacientes del Hospital Clínic de Barcelona a manos de unos ‘hackers’ evidenció la vulnerabilidad del sistema sanitario español.

Era la mañana de un domingo de marzo de 2023 en el Hospital Clínic de Barcelona. Más de 300 personas que esperaban someterse ese día a una cirugía no pudieron. Se dejaron de hacer más de 4.000 análisis de pacientes y más de 11.000 visitas de consultas externas, así como el aplazamiento de sesiones de radioterapia oncológica que estaban programadas. Un ciberataque al hospital había afectado gravemente los servicios de urgencias, laboratorios y farmacia. Poco después, la empresa de ciberdelincuentes Ransom House se atribuyó la autoría del delito.

El ciberataque le costó caro al Clínic: intervenciones aplazadas, días sin conexión a Internet, comunicaciones interrumpidas entre departamentos, imposibilidad de acceso a historiales de los pacientes… Aunque lo más crítico fue, sin duda, el robo de información tanto de los pacientes como de los trabajadores del centro, desde datos personales hasta de salud y tratamientos adecuados.

Tras el robo de datos de aproximadamente 4 terabytes —el equivalente a 4.000 gigas—, el grupo de ciberdelincuentes pidió un rescate de 4,2 millones de euros a la Generalitat, un pago que no ocurrió. Hasta el momento, ya son tres las filtraciones masivas de datos de pacientes que se han producido en la dark web, aunque desde el Clínic aseguran que siguen colaborando junto con la Agencia de Ciberseguridad de Catalunya y los Mossos d’Esquadra en las tareas de análisis y recuperación de los sistemas de información para normalizar la situación después del ciberataque.

De hecho, un informe elaborado por la compañía Aiuken Cybersecurity concluye que “la debilidad actual del sistema sanitario español en el ámbito de la ciberseguridad no garantiza la protección de los datos sanitarios”, en parte por la escasa inversión destinada a combatir los ciberataques y por las obsoletas infraestructuras tecnológicas de buena parte de los complejos hospitalarios de España.

José Luis Díaz es director general de España y Portugal de Advens, empresa internacional especializada en ciberseguridad, y detalla en una entrevista para Infobae España cuáles son los principales riesgos a los que se enfrenta el sector sanitario en cuanto al ataque de ciberdelincuentes. Aunque el principal problema es que los “datos médicos confidenciales pueden estar en peligro”, Díaz también señala que “la información robada adquirida por los ciberdelincuentes puede ser utilizada para cometer fraudes médicos o robar la identidad de los pacientes del centro sanitario, lo que podría derivar en consecuencias graves en términos financieros y de salud para los afectados”.

Es más, el ciberataque puede incluso provocar graves problemas de salud, pues “los sistemas de control de dispositivos médicos como son las bombas de infusión o monitores cardíacos pueden verse comprometidos y, colateralmente, afectar al nivel de seguridad de la vida de los pacientes en casos críticos”. Un daño que puede “perjudicar profundamente en la confianza del público en esa institución sanitaria concreta e impactando directamente de forma negativa en su reputación y credibilidad”.

Que un hospital o cualquier tipo de centro sanitario sea víctima de un ciberataque no es cosa baladí. Un informe de Barracuda Networks calculó que un ataque de este tipo suponía un coste de un millón de dólares —más de 920.000 euros— en el 44% del sector sanitario. Miguel López, director general de la compañía, explica a Infobae España que a la hora de valorar económicamente el efecto de un ataque en cualquier sector hay que tener en consideración diversos factores: “Desde el impacto directo del mismo, medible en las horas de esfuerzo necesario para recuperarse del ataque por parte del departamento de informática, hasta las inversiones necesarias en materia de software, asesoramiento externo (legal y técnico), daños reputaciones, pérdidas por caída del servicio, costes laborables por la detención de la actividad, posibles penalizaciones, multas y querellas… entre otros”.

El propio estudio también comparaba la cantidad de tiempo necesaria entre el delincuente y la víctima: “Como media, un atacante necesita apenas 6 horas para diseñar y ejecutar un ataque exitoso a una entidad, mientras que esta necesitará más de 420 horas de su personal técnico para identificar, afrontar y recuperarse del ciberataque”, aclara López.

Una enfermera acompaña a un paciente por los pasillos del hospital Joan March de Mallorca (Shutterstock)

Hospitales españoles, suspensos en ciberseguridad

Lo que pone de manifiesto el ataque al Clínic de Barcelona es una realidad general en nuestro país, que es la notable vulnerabilidad de los sistemas de seguridad de los centros sanitarios. Según ESET Threat Report, un estudio publicado en enero de 2024 en referencia al último semestre del año pasado, España se encuentra a la cabeza de Europa en incidentes digitales y el tercero a nivel mundial, solo superada por Japón y Estados Unidos.

“Aún queda mucho camino por recorrer. Probablemente falta concienciación respecto a la necesidad de invertir en materia de ciberseguridad en estos sectores, pues todavía hay quien cree que precisamente por su ámbito de actuación y la criticidad de su actividad, los ciberdelincuentes van a respetarles de alguna manera… cosa que en absoluto es cierta”, explica el experto en ciberseguridad de Barracuda Networks.

Sin embargo, cabe reconocer que la concienciación en torno a la ciberseguridad es cada vez mayor en el sector sanitario y en el total de la población. Prueba de ello es la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) de 2018, además de en “los volúmenes de inversión destinados a infraestructuras y concienciación social y un fomento de la colaboración entre las empresas del sector público y privado”.

Qué pueden hacer los hospitales para prevenir un ciberataque

Ante la latente debilidad de los hospitales españoles a los ciberataques, Díaz aconseja que los centros tomen una serie de medidas para fortalecer sus defensas en este ámbito. “El primer paso está en la concienciación y la formación del personal sanitario dentro del centro, capacitándolo en prácticas de ciberseguridad y enseñándoles los riesgos y la manera de reconocer y evitar amenazas, como son el phishing o el malware. Además, es importante mantener los sistemas informáticos actualizados y parcheados de manera regular para poder corregir vulnerabilidades conocidas, implementar políticas de acceso y privilegios (con la autenticación multifactorial y la limitación de accesos, por ejemplo), encriptar los datos, proteger los dispositivos médicos mediante acciones específicas como segmentación de red y actualizaciones de firmware regulares, copias de seguridad…”, explica el director de Advens.

Fuente: INFOBAE