Porque el próximo evento de seguridad no será solo clínico: será también digital”
Autor: Rafael Bango, Miembro de AIpocrates, Médico especializado en auditoria médica, estudiante de ingeniería en ciencia de datos candidato a especialización en Analítica y Big Data
¿Qué tan lejos de mi están los ciberataques?
Cada vez es más frecuente escuchar amigos, conocidos y colegas sobre el robo de las cuenta de WhatsApp y las estafas derivadas de esto. Eventos relacionados con la seguridad informática, como el secuestro de datos o sus ordenadores ya sean personales o los institucionales a cambio de un rescate, por el clic confiado en un correo o en la página con promociones imperdibles que sirven de puerta de entrada para la contaminación digital del sistema.
En el ámbito de la salud, esta modalidad adquiere una dimensión adicional: el manejo de datos sensibles. Los computadores del consultorio, la oficina o la clínica no solo sirven para trabajar, sino para atender pacientes, almacenar historias clínicas y gestionar bases de datos hospitalarias.
Entonces, ¿cuál es el destino de los datos robados? ¿filtraciones en la darkweb? ¿bases de datos de delincuentes que reinician el circulo vicioso o para expandir “su red de pesca”? La conclusión es que los datos filtrados o vendidos hacen que un ciberataque este a un clic de distancia.
En el sector salud
El sector salud no sólo fue uno de los más atacados por los hackers en 2019, sino que es la industria que ha sufrido los ataques más dañinos en los últimos años. El costo promedio de un ciberataque en el sector salud en términos de pérdida de negocio, gastos de prevención, detección y recuperación equivale a 7,13 millones de dólares en comparación con los 3,86 millones que, en promedio, cuestan los ciberataques en cualquier otra industria.
El sector salud es uno donde más tiempo se tarda en detectar una posible vulneración de información, desde que tiene éxito el ataque hasta que la institución detecta la vulneración de sus datos pasa un promedio de 329 días.
Asimismo, se debe tener presente que el 80% de la información comprometida por estos ciberataques son datos personales, información sensible.
Desde la implementación de la historia clínica, cuyo objetivo inicial era estrictamente transaccional, terminó convirtiéndose, de un momento a otro, en una entidad híbrida clínico‑administrativa, muchas veces amorfa y carente de sentido funcional.
A esta evolución se suma que la pandemia de COVID‑19 aceleró de forma drástica la digitalización de nuestros entornos de práctica clínica, como resultado, se amplió la dependencia de los sistemas informáticos. aumentando la exposición a riesgos de ciberseguridad (ciberataques).
Los ciberataques a dispositivos conectados del hogar, incluidos smart devices como cámaras, routers y electrodomésticos inteligentes, aumentaron un 124% en 2024; lo que evidencia un crecimiento acelerado de amenazas sobre tecnologías cotidianas. Además, según un informe conjunto de Bitdefender y NETGEAR, un hogar promedio enfrenta hasta 29 ataques diarios, impulsados por la expansión del ecosistema IoT y por fallas básicas de firmware y configuraciones inseguras.
Las tecnologías que soportan la Historia Clínica Electrónica (EHR), la telemedicina y otros dispositivos médicos y no médicos se han convertido en infraestructuras críticas y, por lo mismo, en blancos ideales para infiltraciones y ataques. Las vulnerabilidades en equipos clínicos y redes hospitalarias han impulsado un aumento significativo en incidentes, incluidos ataques de ransomware que afectan directamente la seguridad de los pacientes y la continuidad de los servicios esenciales.
Hoy, desde electrodomésticos y equipos de cualquier índole conectados en la red del hospital, aumenta la superficie de ataque digital, y el riesgo sigue creciendo a un ritmo sin precedentes.
Ha llamado tanto la atención este fenómeno, que series televisivas (médicas y no médicas) han dedicado capítulos enteros a este tipo de incidentes.
Con el objetivo de entender la importancia y la urgencia de una acción en este tema en el sector salud, analizaremos el caso de WannaCry en 2017 en el Reino Unido. Este incidente interrumpió los servicios en un tercio de los hospitales y en alrededor del 8% de las consultas de medicina general, lo que tuvo un impacto de unas 19.000 citas canceladas. Si bien es difícil estimar los costos de tecnologías de la información (TI), se calcula que tuvo un costo de 19 millones de libras por causa de la cancelación de citas y de 73 millones de libras que tuvieron que ser invertidos en los meses siguientes en el soporte o en consultores para restaurar datos y sistemas afectados por el ataque.
Durante 2020, en Estados Unidos las fugas de datos del sector salud crecieron un 55% según el Departamento de Salud y Servicios Humanos. De estas fugas el 67% se debe a incidentes de ciberseguridad.
El ataque de ransomware de mayo de 2021 en San Diego, que afectó a un sistema con cuatro hospitales y 19 centros de salud, inhabilitó la historia clínica electrónica, los sistemas de imágenes y la telemedicina, forzando al personal a utilizar procesos manuales en papel.
Este evento digital se transformó en un problema clínico regional cuando los hospitales vecinos, que no estaban infectados, experimentaron un aumento del 35.2% en la llegada de ambulancias y un incremento del 127.8% en pacientes que se retiraron sin ser atendidos debido a la saturación.
En noviembre de 2022, el Grupo Keralty (EPS Sanitas, Colsanitas) confirmó un ciberataque que afectó sus sistemas; en enero de 2023, la Supersalud informó que se vulneraron datos personales de 241.589 usuarios y que la contingencia se extendió por semanas, con servicios inestables.
El INVIMA sufrió dos ataques en 2022 (6 de febrero y 3 de octubre), que obligaron a deshabilitar su portal y servicios; en abril de 2023 la entidad aún reportaba retrasos vinculados al restablecimiento tras esos incidentes, evidencia de efectos persistentes.
Figura No. 1. Efectos de los ciberataques en el ámbito de la salud
En conclusión, estos eventos pueden tener impactos en la continuidad asistencial de los usuarios del sistema de salud y/o en la imagen de las organizaciones.
La ciberseguridad, más que antivirus es un cambio cultural
La expansión sostenida del entorno digital ha posicionado a la ciberseguridad como un eje estratégico global. La necesidad de proteger el ecosistema en constante crecimiento, mediante conductas responsables y herramientas tecnológicas adecuadas, resulta cada vez más evidente.
En este contexto, la ciberseguridad adquiere una importancia particular en el ámbito sanitario, donde se manejan datos altamente sensibles. Comprender su papel dentro de los procesos de transformación digital es esencial para garantizar la continuidad operativa, proteger la confidencialidad de la información y, sobre todo, salvaguardar la seguridad del paciente.
Aunque la ciberseguridad se ha venido desarrollando desde hace varias décadas, su adopción en el sector salud aún no es generalizada. La tendencia en incidentes sigue en aumento: según la encuesta de la Healthcare Information and Management Systems Society (HIMSS), en 2018 el 75,7% de las organizaciones de salud en Estados Unidos reportó haber sufrido al menos un incidente significativo de ciberseguridad en los 12 meses previos, mientras que solo el 21,2% afirmó no haber enfrentado ninguno y un 3,2% indicó no saber si había sido afectado.
Principales tipos de amenazas de ciberseguridad que existen actualmente y su impacto, se menciona en la figura 2.
Figura No.2, principales amenazas de ciberseguridad detectadas
Acompañando esta realidad, los distintos gobiernos y organizaciones internacionales han definido marcos regulatorios, como el Reglamento General de Protección de Datos (GDPR), de la Comunidad Europea, y el Health Information Privacy (HIPAA), de Estados Unidos. Ambos marcos buscan reglamentar el manejo y la protección de los datos personales por parte de los distintos actores involucrados según sea el contexto y el HIPAA, en particular, tiene como alcance los datos personales de salud.
La ciberseguridad es un asunto que debe involucrar a toda la organización, desde el director hasta el último empleado, con el fin de implantar las medidas necesarias para proteger los activos informáticos como los sistemas, redes, computadoras, documentos digitales, entre otros, de posibles ataques que afecten su integridad, confidencialidad y/o disponibilidad. 1-2
En la próxima entrega (Parte 2) pasamos de la alerta a la acción: medidas concretas de ciberseguridad para proteger sistemas, datos y la continuidad asistencial. ¡Te esperamos!
aipocrates.blog 
Un comentario en “Ciberataques en salud: hospitales, médicos y consultorios bajo riesgo (Parte 1)”