En este momento estás viendo Las consecuencias millonarias de la ciberdelincuencia

Las consecuencias millonarias de la ciberdelincuencia

Por el Ing. Nahuel Grisolía

Los registros médicos de las personas tienen un valor mucho más importante (alrededor de cincuenta veces más) que la información relacionada a tarjetas de crédito, credenciales de acceso a bancas privadas o sobre finanzas.

En la era digital, todos los procesos tienden a una mayor dependencia de recursos informáticos y de acceso rápido a la información. Existe, desde hace años, una tendencia a migrar procesos manuales (que requieren del uso de papel) a Aplicaciones Web o Móviles, reduciendo también el impacto ambiental. Los ambientes digitales de trabajo se hacen complejos, de un simple papel a servidores y servicios «en la nube» que alojan todo tipo de información muy valiosa. Muchas veces, se desconoce completamente la ubicación precisa de la información, dónde se almacena y cómo. ¿Hay algún tipo de protección ante accesos ilegítimos? 

Existe un negocio sucio y multimillonario relacionado a ataques informáticos en Organizaciones de Salud. Los ciber-delincuentes aprovechan la baja madurez en Seguridad de la Información que ciertas organizaciones, empresas o instituciones poseen, para cometer intrusiones, colectar información de manera masiva e ilegal, y ofrecerla al mejor postor en mercados negros en línea.

Si bien, la seguridad de la información constituye un área de atención creciente en las organizaciones, las extorsiones digitales, los riesgos de fraude e impacto a la imagen y la denegación de acceso a información por ataques de Ransomware, son algunos derivados de los posibles incidentes de seguridad que existen.

Los principales objetivos de los atacantes, relacionados a la Salud, son: Plataformas de Atención Médica Virtual, Resultados de Laboratorios, Historias Clínicas completas, Diagnóstico por Imágenes Digitales, Control Remoto de Equipamiento de Alta Complejidad que queda Expuesto a Internet, y todo tipo de objetivo con una interfaz digital, como un marcapasos con Bluetooth. Generalmente, son ataques no dirigidos, es decir que son parte de un ataque masivo que busca debilidades comunes en sistemas, para aprovecharlas y explotarlas. Hay casos que son específicos, donde el interés de los ciber-delincuentes se incrementa por el valor monetario que representaría el resultado de un ataque exitoso.

Un ataque muy famoso del año 2017 se relacionó al robo de fotografías de una clínica de cirugía estética. Los delincuentes informáticos realizaron una intrusión que les permitió obtener miles de fotos de los pacientes de una clínica. Luego, extorsionaron a los dueños de dicha clínica con el objetivo de no dejar expuesto el ataque y sus resultados. Sin embargo, esto desencadenó, finalmente, en una serie de juicios por parte de los pacientes afectados, exposición de información sensible, etc.

Existen herramientas y acciones que se pueden llevar a cabo para reducir la probabilidad de un ataque. La ejecución de pruebas de seguridad (Penetration Tests -pruebas de intrusión-), llevar adelante programas recurrentes en concientización a las personas, son sólo algunas. Entender el valor de la información, proteger su acceso y su almacenamiento, y probar que la confidencialidad, integridad y disponibilidad se garanticen es el camino. No existe seguridad 100%, pero las capas de seguridad que se pueden implementar y la defensa en profundidad disminuyen ampliamente la probabilidad de estos ataques.
Para concluir, la información tiene mucho valor en grandes cantidades; en la gestión de la salud suele ocurrir que existen enormes bases de datos que contienen una cantidad importante de registros, siendo atractivo el rubro para los delincuentes. Es imprescindible generar conciencia en seguridad de la Información, demostrando que los ataques informáticos suceden, y no sólo en las películas.

Ing. Nahuel Grisolía
Founder / CEO de Cinta Infinita
www.cintainfinita.com.ar
www.linkedin.com/in/nahuelgrisolia

Deja una respuesta