Los centros sanitarios invierten muy poco en seguridad informática frente a otras industrias
Las redes informáticas de los hospitales son cada vez un objetivo más frecuente de los hackers. Recientemente se ha producido un robo de datos de 4,5 millones de personas que habían recibido tratamiento en Community Health Systems (CHS, en EEUU), una empresa que gestiona más de 200 hospitales. Los ataques de malware están aumentando en muchas industrias, aunque los investigadores de la firma de seguridad Websense aseguran que la velocidad con que han crecido los ataques a los hospitales en el último año no tiene precedentes.
En los centros de salud la seguridad de los datos no suele ser muy alta, y los hackers están atacando sistemas repletos de tesoros de información personal de gran valor, almacenada en historiales clínicos electrónicos, según los investigadores de Websense, que añaden haber observado un aumento del 600% en los ataques a hospitales durante los últimos 10 meses.
El director sénior de Investigación de Seguridad de Websense, Carl Leonard, afirma que en algunos de los ataques a hospitales se utilizó la conocida vulnerabilidad Heartbleed. Dicha vulnerabilidad, que fue revelada al público general por primera vez en abril (dos años después de su primera aparición), es un defecto en OpenSSL, un software de cifrado ampliamente utilizado. Los criminales pueden aprovechar el fallo y engañar a los ordenadores vulnerables para que revelen información almacenada en la memoria. La firma de seguridad web TrustedSec, citando fuentes cercanas a la investigación, ha informado que los hackers que atacaron a CHS obtuvieron acceso a la red a través de la vulnerabilidad Heartbleed.
Los proveedores de software lanzaron parches inmediatamente después del anuncio del fallo, pero una investigación reciente indica que cientos de miles de sistemas probablemente siguen siendo vulnerables. Aunque los autores de malware pueden infiltrarse en las redes y robar información delicada de muchas otras maneras, "la enorme cantidad de sistemas susceptibles a esta vulnerabilidad es algo destacable", señala Leonard desde Websense.
La seguridad de los datos no ha sido una prioridad para muchas organizaciones de atención sanitaria, lo cual agrava el problema. La industria de la salud gasta muy poco en TI en comparación con otras industrias, asegura el jefe de información y decano de Tecnología de la Escuela de Medicina de Harvard (EEUU), John Halamka. "¿Dónde crees que vas a encontrar las vulnerabilidades?", se pregunta.
Mientras que los números personales de tarjetas de crédito y de afiliación la Seguridad Social de EEUU se venden por relativamente poco dinero en los mercados clandestinos de robo de identidad, cierta información de identificación personal procedente de los historiales de salud puede alcanzar un valor de cientos de dólares para aquellas personas sin seguro médico que quieran hacerse pasar por otra persona y obtener atención médica que no podrían costearse de otro modo, afirma Halamka.
Las autoridades federales de EEUU y la empresa de seguridad Mandiant han señalado a la Comisión de Valores de Estados Unidos (SEC, por sus siglas en inglés) que el robo de datos en CHS fue llevado a cabo por un sofisticado grupo en China. Aunque por lo general el grupo ha tenido como objetivo la propiedad intelectual relacionada con dispositivos y equipos médicos, en esta ocasión, según la SEC, ha robado "datos no médicos de identificación de pacientes" en vez de datos médicos, de tarjeta de crédito o información clínica. Sin embargo, nadie sabe qué estaban buscando los hackers.