Una consulta médica trabaja con datos sensibles de los pacientes. Sin embargo, casi ningún médico dispone de los conocimientos necesarios para hacer que la informática de su consulta sea a prueba de remaches y clavos contra los ciberataques externos. Esto puede resultar caro, en muchos aspectos. Y quien piense que el peligro sólo afecta a los grandes hospitales y centros, mientras que las consultas “pequeñas” no interesan a los piratas informáticos, está subestimando el enfoque de los delincuentes.
Si todavía no ha sido víctima de un ataque de ransomware, alégrese, pero no se ponga a salvo. Porque tarde o temprano, lo más probable es que todos los propietarios de consultas se vean afectados. El ransomware es un programa malicioso que se utiliza para infiltrarse en los datos o en infraestructuras informáticas completas, robar datos, cifrarlos parcial o totalmente e impedir así el acceso a los mismos (recuadro).
Según el Informe sobre ransomware, que publica anualmente el proveedor mundial de seguridad informática Sophos, alrededor del 60% de las empresas del sector sanitario se vieron afectadas por ataques de ransomware en 2023. Según el informe, es probable que esto se deba a “tecnologías y controles de infraestructura obsoletos”: a las empresas probablemente les resulte “más difícil asegurar los dispositivos, restringir los movimientos laterales y evitar la propagación de los ataques”. En el sector de la informática, la tecnología y las telecomunicaciones, en cambio, la proporción de dispositivos afectados fue sólo del 33%.
El objetivo es claro: los datos bloqueados sólo pueden liberarse si se paga un rescate. Según Sophos, el rescate medio pagado fue de 1.470.000 dólares. Sin embargo, las a veces horrendas sumas exigidas son sólo un aspecto del problema. Antes de que esto ocurra, el propietario de la consulta se enfrenta primero al reto de mantener su negocio y, por tanto, su medio de vida. En tiempos de digitalización, los médicos también dependen en gran medida de la informática de su consulta: sin acceso a ella, no es posible consultar los expedientes de los pacientes, emitir recetas o consultar radiografías o resonancias magnéticas. En resumen: ya no se puede tratar a los pacientes.
Doble peligro por la amenaza de publicación
En general, existe una forma relativamente sencilla de protegerse contra la pérdida de datos mediante la creación de copias de seguridad. Los sistemas informáticos modernos realizan este paso automáticamente sin que el propietario de la consulta tenga que hacer nada activamente. Esto permite restaurar los datos rápidamente y minimizar la interrupción de las operaciones. Sin embargo, quien piense que los ciberdelincuentes no podrán hacerles daño sólo por esto se equivoca: Aunque se pueda volver a acceder a los datos utilizando las copias de seguridad, esto no cambia el hecho de que los piratas informáticos siguen en posesión de los datos. Su siguiente paso: una doble extorsión al no sólo exigir un rescate, sino también amenazar con publicar los datos de los pacientes en Internet.
Con una amenaza de este tipo, hay mucho más en juego para un médico que la mera pérdida financiera causada por el pago de un rescate. Si los datos sensibles de los pacientes son robados y pasan a ser libremente accesibles a todo el mundo en Internet, esto significa sobre todo una inmensa pérdida de confianza en los pacientes afectados, por no mencionar el daño a largo plazo para la imagen de la consulta y las posibles consecuencias legales. Quien no esté preocupado por la paralización de su informática, a estas alturas como muy tarde pensará en pagar antes que sufrir daños aún mayores.
Esto suele causar pánico entre los propietarios de los consultorios, que se sienten comprensiblemente abrumados por la situación. Además, en estos casos, la gente suele intentar resolver el problema por su cuenta sin buscar ayuda profesional. El informe de Sophos descubrió que las organizaciones afectadas rara vez pagan la cantidad exigida originalmente por los atacantes. En el sector sanitario, la cantidad pagada fue superior a la exigida originalmente por los chantajistas en el 57% de los casos, lo que en última instancia también es un signo de la impotencia con la que los afectados se enfrentan a los ciberatacantes.
Las consultas se ven tan afectadas como los grandes hospitales
Pero, en primer lugar, ¿cómo acaban los propietarios de consultas en el punto de mira de los piratas informáticos? Rara vez de forma selectiva. En su lugar, los ciberdelincuentes trabajan según el principio de la regadera: se ataca indiscriminadamente a tantos objetivos como sea posible, y unos pocos picarán.
El malware de los delincuentes está especialmente programado para programas informáticos de uso frecuente en las empresas. A quién acaban apuntando los delincuentes es una cuestión de azar. Las grandes empresas y los hospitales universitarios que han sufrido ciberataques en los últimos años sólo se han convertido en víctimas porque utilizaban un software específico.
Por este motivo, ningún propietario de una consulta debe dejarse llevar por la falsa sensación de seguridad de que su pequeña consulta individual carece por completo de interés en comparación con los grandes hospitales. Las grandes estructuras informáticas, como los hospitales, tienen más probabilidades de ser blanco de ataques, pero también suelen ser mucho más complejas y estar mejor protegidas. Por ello, los piratas informáticos se desplazan cada vez más hacia las pequeñas y medianas empresas, cuyos mecanismos de protección no son tan eficaces y pueden ofrecer lagunas.
Factor de riesgo humano
Por mucho que haya invertido en cortafuegos, protección antivirus y similares, la mayor amenaza para un sistema informático sigue procediendo de los propios médicos y personal de la consulta. Una vez que se hace clic en un archivo adjunto o en un enlace de correo electrónico desconocido por descuido, el malware malicioso se carga en el ordenador, extrae datos del sistema -a veces durante semanas- hasta que finalmente cierra las compuertas y ya no permite el acceso.
También se está alcanzando una nueva dimensión de los ciberataques con el constante desarrollo de la inteligencia artificial: las imágenes generadas por IA, las cartas de presentación por correo electrónico e incluso los videoclips son tan engañosamente reales que cada vez resulta más difícil para un médico o un asistente médico reconocer el intento de fraude en el estrés diario de su consulta. ¡No es una buena perspectiva!
| medizinonline serie “Peligro desde Internet” La serie “Peligro desde Internet” presenta en tres partes las amenazas y posibles consecuencias de los ciberataques, así como las medidas preventivas. En la segunda parte del próximo número de Hausarzt Praxis podrá leer cuál es la mejor forma de proceder si su propio sistema informático ha sido pirateado: ¿Debe pagar o no las peticiones de rescate? También descubrirá cómo puede recuperar sus datos, qué opciones legales tiene a su disposición y cómo debe enfocar a sus pacientes la pérdida de confianza y las posibles reclamaciones por daños y perjuicios. |
Pero, ¿cómo puede protegerse una consulta? En primer lugar, el riesgo puede minimizarse concienciando a todo el equipo de la consulta. La formación especializada o los talleres son adecuados para poner de relieve los riesgos potenciales. Si un empleado no está seguro de haber cometido un error y haber abierto la puerta al malware, debe tratarse abiertamente y sin repartir culpas. Se requiere especial precaución si, por ejemplo, se ha hecho clic en un enlace pero no se abre ninguna página, o si el ordenador se vuelve muy lento por razones que no son obvias. Para estar seguros, es aconsejable ponerse en contacto con el proveedor de servicios informáticos en cuanto aparezcan estos signos para que puedan realizar una comprobación en profundidad. Al fin y al cabo, por muy cualificado y experimentado que sea el profesional en su campo de especialización, como profano en la materia está librando una batalla perdida contra los piratas informáticos.
HAUSARZT PRAXIS 2024; 19(10): 42-43 (publicado el 17.10.24, antes de impresión)
InFo ONKOLOGIE & HÄMATOLOGIE 2024; 12(5): 34–35
