En el marco del Día Mundial de la Salud, es crucial reconocer y abordar las amenazas que enfrenta el sector sanitario en el ámbito digital. Los ciberataques dirigidos a instituciones médicas no solo representan una violación de la privacidad de los pacientes, sino que también ponen en peligro vidas y comprometen la integridad de los datos médicos.
Durante el primer trimestre de 2023 el sector salud sufrió una media de 1.684 ataques cibernéticos por semana, lo que le sitúan en el tercer puesto por debajo del sector de investigación y educación, y del gobierno y de la industria militar. Estos datos ponen de relieve el aumento interanual que ha sufrido el sector salud llegando a un 22% más que el periodo anterior.
“Podemos hablar de que hay una clara falta de recursos ya que muchas veces las instituciones no tienen los medios necesarios para abordar y prevenir estos ataques. Esto lo convierte en un objetivo más accesible para los delincuentes, ya que saben que es menos probable que puedan defenderse”, nos explica en una entrevista en ConSalud.es Javier Martí, responsable de Ciberseguridad de Secure&IT.
“Hay una clara falta de recursos ya que muchas veces las instituciones no tienen los medios necesarios”
Comparado con otros sectores, como el financiero, los motivos detrás de los ataques cibernéticos al sector de la salud son claros. La abundancia de datos sensibles, que incluyen historiales médicos, información financiera y datos personales, los convierte en un objetivo lucrativo. En este contexto el especialista en ciberseguridad nos explica la motivación detrás de estos ataques. “Toda esta información es altamente valiosa para los ciberdelincuentes, ya no solo para venderlos en la ‘Dark Web’, pudiendo ser utilizada para realizar cualquier tipo de fraude o incluso suplantación de identidad”, matiza el experto.
Como ya ha explicado el especialista en ciberseguridad una de las principales vulnerabilidades que enfrenta el sector sanitario es la falta de recursos. Con frecuencia, las instituciones carecen de los medios necesarios para abordar y prevenir estos ataques, lo que las convierte en blancos más fáciles para los delincuentes cibernéticos. A diferencia del sector financiero, donde se presupone que hay más capital para invertir en medidas de seguridad, las instituciones médicas a menudo operan con presupuestos limitados.
“Hay falta de recursos humanos que lleven a cabo las adecuaciones a losmarcos de control”
“No hay recursos para invertir en seguridad informática, ya sea por medidas técnicas que mitiguen esos riesgos o por falta de recursos humanos que lleven a cabo las adecuaciones a los marcos de control que existen en el sector”, añade Martí.
Además de la falta de recursos, existen otras vulnerabilidades específicas que hacen al sector de la salud más susceptible a los ciberataques. Los sistemas informáticos obsoletos o no actualizados, la creciente conectividad a Internet de dispositivos médicos, junto con la voluminosa cantidad de intercambio de datos que se produce entre las diferentes instituciones, también aumenta el riesgo de fugas de información.
La protección contra estos ataques es esencial, y requiere una combinación de seguridad informática robusta, capacitación del personal y protocolos de respuesta rápida para minimizar el daño y restaurar los sistemas lo antes posible. La concienciación sobre la ciberseguridad en el ámbito de la salud es un paso crucial para prevenir estos incidentes y asegurar la continuidad del cuidado al paciente.
Los ciberataques a instituciones sanitarias representan una amenaza significativa para la seguridad de los pacientes. Cuando un hospital sufre un ataque de este tipo, los sistemas críticos pueden quedar inoperantes, impidiendo la realización de pruebas diagnósticas y el acceso a historiales médicos vitales. Esto no solo interrumpe la atención al paciente, sino que también pone en riesgo vidas al no poder monitorizar condiciones médicas.
“La educación del personal debe ser un vertical esencial”
“La educación del personal debe ser un vertical muy importante e incluso esencial y debería darse en cualquier tanto público como privado”, declara el responsable de Ciberseguridad de Secure&IT.
En cuanto a las consecuencias económicas, tanto directas como indirectas, de los ciberataques tienen un costo significativo para las instituciones sanitarias. Las directas se refieren a aquellas que tienen un costede recuperación donde se engloban los propios costes asociados a la recuperación de datos que hayan podido ser dañados. Además tenemos que sumar los costes de reparación de los propios sistemas informáticos, y la implementación de medidas para que no vuelva a ocurrir.
“En cuanto a los costes directos, hay que tener presente el coste relacionado con la pérdida de productividad derivado de los problemas con las maquinas cuando estas no funcionan ante el ciberataque. Por otro lado, se encuentran los costes legales, ya que las instituciones pueden enfrentarse a demandas por parte de los afectados”, afirma Javier Martí.
Un ejemplo de los costes indirectos puede ser la disminución en la confianza de los pacientes, lo que puede repercutir en una dificultad para atraer y retener pacientes. “Por norma general estos ciberataques suelen tener un impacto económico devastador en las instituciones sanitarias, estamos hablando de millones”, concluye el experto.
La ciberseguridad en el sector de la salud es un asunto de vida o muerte. Proteger la integridad de los datos y garantizar la continuidad de la atención al paciente son imperativos que requieren una inversión en recursos, educación y medidas de seguridad adecuadas.