Els ciberatacs en l’àmbit sanitari estan a l’ordre del dia, malgrat que la gran majoria no arriben a fer-se públics. Com mostren webs especialitzades en seguretat informàtica sanitària com Health IT Security, Espanya no és una excepció. Va ocórrer a Astúries en un intent de robatori d’informació sanitària, o quan el “criptogusano” WannaCry va obligar els hospitals espanyols a prendre mesures urgents de protecció el 2017.
Segons dades del Centre Criptològic Nacional (l’organisme especialitzat en ciberseguretat dependent del CNI), fins a juny de 2018 havia gestionat 486 incidents en el sector de la salut a Espanya: 314 de nivell crític alt, 169 de nivell mitjà i 3 de nivell molt alt. 303 casos eren intrusions en els sistemes i 125 atacs a través de codi nociu que van afectar els sistemes de centres sanitaris.
Nombrosos experts en seguretat informàtica alerten que els ciberatacs en Sanitat van en augment. Fa uns mesos, el gerent de l’Hospital Universitari de Fuenlabrada, Carlos Mur de Vir, explicava que el 2018 s’havien produït molts més ciberatacs en l’àmbit sanitari que en els últims 10 anys.
Per què ciberatacar centres sanitaris?
Són diversos els factors que expliquen l’interès dels ciberdelinqüents per atacar hospitals i centres de salut. Una raó de pes són les dades de sanitaris dels pacients. No sols són especialment crítics en matèria de privacitat personal, sinó que són també molt valuosos. En el mercat negre, un historial clínic pot arribar a valer 80 euros. A més de les dades de salut, també es troben dades personals que poden utilitzar-se per a la suplantació d’identitat.
Els atacants informàtics han desenvolupat virus específics per al robatori d’informació mèdica. Poden vendre-la en el carreró fosc d’Internet (la denominada ‘deep web’), on webs ocultes als cercadors acullen un mercat negre. El pagament amb bitcoins dificulta el rastreig de diners. Entre els potencials clients estan els entorns d’empreses farmacèutiques i asseguradores, grans interessades en les estadístiques sanitàries.
El 2016, un grup cibercriminal anomenat The Dark Overlord va vendre al voltant de 10 milions de registres mèdics per centenars de bitcoins (el que suposa centenars de milers d’euros). A l’elevat preu que tenen les dades de pacients en el mercat negre s’uneix l’abundància i varietat de vulnerabilitats en els dispositius mèdics i els ordinadors en el camp de la sanitat, que sedueixen als hackers per a atacar amb finalitats econòmics o fins i tot com a entrenament per als seus atacs.
A més del robatori de dades, els ciberatacs també es dirigeixen a l’extorsió econòmica. Bloquegen o entorpeixen l’atenció sanitària, arribant a l’extrem de posar en risc als pacients, fins que els responsables dels centres paguin certa quantitat de diners. El 2017, quan el ransomware WannaCry va afectar de ple al Servei Nacional de Salut de Regne Unit, els professionals sanitaris es van trobar que no podien accedir als registres dels seus pacients. Milers de cites mèdiques es van cancel·lar i els comptes d’email es van suspendre.
El 2016, un hospital de Los Angeles es va veure obligat a pagar gairebé 17.000 dòlars en bitcoins als pirates informàtics perquè desbloquegessin la xarxa d’ordinadors després d’una setmana sense poder accedir a ells. El 2018, una quarta part dels habitants de Singapur va sofrir el pitjor ciberatac de la seva història: es van filtrar 1,5 milions de dades de pacients procedents del sistema de salut del país, en un intent dels hackers per a fer xantatge al primer ministre amb informació compromesa. Altres atacs han provocat errors en llistes d’espera i la paralització de diagnòstics, tractaments o cirurgies en diferents països.
Les vulnerabilitats en la ciberseguretat sanitària
En el camp de la ciberseguretat és popular una dita que diu que els majors forats de seguretat informàtica es troben asseguts enfront de les pantalles dels ordinadors. El factor humà està darrere de la majoria dels riscos de ciberseguretat. Les contrasenyes febles (per exemple: 123456) o apuntades en post-its a la vista en els escriptoris són dos dels errors més comuns. Un altre risc crític és que treballadors sanitaris obrin emails sospitosos que contenen troians o virus.
En els últims anys, a més, han proliferat dispositius mèdics que estan connectats a Internet. Aquestes tecnologies afavoreixen l’intercanvi de dades entre professionals sanitaris de diferents centres, però també obren una potencial porta a visitants indesitjats per a llançar els seus atacs i accedir a dades mèdiques.
L’any passat, investigadors en ciberseguretat van emprar Shodan (un cercador de dispositius connectats a Internet) per a buscar dispositius sanitaris connectats a la xarxa de xarxes. Es van trobar amb una gran quantitat de servidors, bases de dades mèdiques, interfícies d’usuari i xarxes d’hospitals (mal configurades) exposats en Internet que no haurien de ser visibles públicament. Entre la multitud de servidors exposats es van trobar amb aquells que emmagatzemen i processen imatges mèdiques procedents de TAC, ressonàncies magnètiques i raigs X. També van trobar interfícies amb registres sanitaris.
No és cap sorpresa que el fundador d’una de les empreses de ciberseguretat més importants del món, Gil Shwed, declarés recentment en una entrevista en eldiario.es que “els hospitals de tot el món són probablement la baula més feble de la ciberseguretat. Es tracta d’un entorn molt obert que utilitza molts dispositius diferents de diferents fabricadors. La majoria d’aquests dispositius són bastant antics en termes de programari, fan el treball mèdic, però des d’una perspectiva tecnològica, és fàcil penetrar en ells i la gent ho explotarà”.
Un altre factor de risc addicional són les vulnerabilitats pròpies de certs dispositius mèdics. Sanitat va alertar fa dos mesos sobre determinades bombes d’insulina perquè eren susceptibles de ser hackeadas, modificant la seva configuració i el subministrament de la dosi. El 21 de març d’aquest any l’Agència del Medicament dels Estats Units (FDA) va ordenar la retirada de més de 150.00 marcapassos de Medtronic per greus errors del seu programari. La comunicació sense fil amb aquests dispositius mancava de protocols d’autenticació ni xifrat de dades, la qual cosa, unit a l’existència d’altres vulnerabilitats, feia possible accés de hackers al microprogramari per a alterar el funcionament d’aquests marcapassos, posant en greu risc a les persones amb aquests marcapassos. L’abril passat, un grup de pirates informàtics va demostrar el senzill que és trucar escàners mèdics per a posar un càncer en pacients on, en realitat, no n’hi ha, enganyant als metges amb facilitat.
Els experts en seguretat informàtica són conscients d’aquests riscos i aconsellen una vigilància constant de les xarxes i equips sanitaris. També una actualització del microprogramari de dispositius vulnerables i una educació dels treballadors per a evitar caure en els constants atacs dels hackers.
