La seguridad en los hospitales españoles: tu salud y tus datos, ¿en peligro?

Artículo de Cristina Sánchez en Hoja de Router. Publicado el 9 de septiembre de 2015.

Los ataques contra la sanidad estadounidense han aumentado en un 125% en los últimos cinco años. Los cibercriminales hacen un lucrativo negocio con los datos de los pacientes, que pueden usarse para operar bajo una identidad falsa o estafar a las aseguradoras. Aunque en España robar la información confidencial no sea tan rentable, ¿qué mecanismos utilizan los hospitales españoles para que un atacante no pueda conseguir tus datos? Si los dispositivos médicos cada vez estarán más conectados, ¿cómo lograr que sean seguros?

os sistemas informáticos de la sanidad estadounidense están en el punto de mira de los cibercriminales en los últimos tiempos. La compañía UCLA Health ha reconocido ser víctima de un ciberataque: los atacantes habrían podido acceder a los datos personales y médicos de 4,5 millones de pacientes porque no estabandebidamente cifrados.

No es la primera vez. Los datos de 80 millones de personas se vieron comprometidos a principios de año por un ataque a la aseguradora de salud Anthem, cuando los ciberdelincuentes consiguieron las credenciales de cinco profesionales con accesos de alto nivel al sistema. Poco después, otra compañía de seguros, Premera Blue Cross, hizo un anuncio similar, con 11 millones de pacientes afectados.

os ciberataques contra la sanidad estadounidense han aumentado en un 125% en los último cinco años, afectan a uno de cada tres estadounidenses y se estima que cuestan anualmente 6.000 millones de dólares (5.300 millones de euros) alsistema de salud, según un reciente estudio del ‘think tank’ Ponemon Institute.

“La buena noticia es que se está invirtiendo en ciberseguridad. El problema es que los atacantes cibernéticos tienen más recursos y están burlando los enfoques existentes”, explica Rick Kam, presidente de ID Experts y uno de los autores del estudio.

EL LUCRATIVO NEGOCIO DEL MERCADO NEGRO

Rick Kam nos cuenta que los datos médicos completos de un paciente son más valiosos en el mercado negro que las tarjetas de crédito. Según el FBI, se venden por entre 20 y 70 dólares (18 y 63 euros), mientras que una tarjeta puede costar tan solo 5 dólares (4,5 euros).

¿El motivo? Una cuenta bancaria es fácil de cancelar, pero hospitales y aseguradoras no suelen tener un procedimiento claro para ayudar a los pacientes si les roban su información médica. Además, los departamentos de tecnología en sanidad “no están equipados como la banca y las finanzas para hacer frente a estas situaciones, por lo que se están encontrando debilidades que pueden ser explotadas”, ha asegurado el experto en seguridad informática Jeff Schmidt.

Los ciberdelincuentes pueden crear una identidad falsa completa y operar con ella o estafar a las aseguradoras gracias a esos datos. Por ejemplo, pueden aprovechar esa identidad para adquirir medicamentos y venderlos posteriormente en la ‘deep web’. Por otra parte, hay que tener en cuenta la gravedad de que se sustraigan datos especialmente sensibles para los pacientes: saber dónde vives no es lo mismo que conocer tu grupo sanguíneo o tus alergias.

En España, todavía no se han dado casos como los de Estados Unidos, ya que los cibercriminales no podrían obtener un beneficio económico con nuestros datos. “Esto no quiere decir que allí estén menos protegidos”, nos explica Rubén Santamarta, analista de seguridad en Reversemode. Este experto nos cuenta que operar con una identidad falsa es más difícil en España. Además, allí se utiliza el Número de Seguridad Social (SSN por sus siglas en inglés) para declarar impuestos, así que con un nombre y un SSN, los cibercriminales lo tienen más fácil para defraudar al fisco.

Ahora bien, aunque nuestros datos médicos no sean tan golosos a los ojos de un ciberdelincuente, ¿cómo gestionan la seguridad de tu información los hospitales españoles?

La Ley Órganica de Protección de Datos (LOPD) establece que los datos de carácter personal relacionados con nuestra salud deben estar especialmente protegidos con medidas de seguridad de nivel alto. El Reglamento de Protección de Datos 1720/2007 que desarrolla la ley fija que los sistemas de tratamiento y almacenamiento de datos han de someterse a una auditoría interna o externa al menos cada dos años, obliga al cifrado de los datos, detalla que se han de registrar los intentos de acceso y determina protocolos de autenticación de los usuarios.

“Esto no significa que los sistemas de hospitales sean seguros simplemente por implementar las medidas de seguridad que se recomiendan bajo la LOPD”, defiende Santamarta. “Todo depende en seguridad de cómo sea de persistente el atacante, si hay un beneficio económico o geopolítico… Siempre va a haber grupos con recursos y tecnología suficiente para, durante un cierto tiempo, intentar robar esos datos”.

MEDIDAS DE SEGURIDAD SÍ, PERO TAMBIÉN WINDOWS 2000

En el caso de la Comunidad de Madrid, la Oficina de Seguridad del Servicio Madrileño de Salud se encarga de establecer medidas de acuerdo con la LOPD. En los hospitales hay programas de formación específicos para los profesionales sanitarios, técnicos o administrativos y protocolos de cambio de contraseña en los ordenadores, aunque no nos han precisado cada cuánto tiempo se realizan.

Además de las auditorías de ficheros que fija la ley, se realizan otras auditorías técnicas de seguridad y diagnósticos personalizados varias veces al año, según nos explica José Antonio Alonso, director general de Sistemas de Información Sanitaria de la Consejería de Sanidad de la Comunidad de Madrid.

Arturo Gordo, director del departamento de Seguridad y Sistemas de HM Hospitales, afirma que las auditorías periódicas y los servicios de ‘hacking ético’ que ellos han implementado son útiles para mejorar la seguridad. De hecho, gracias a una empresa externa lograron detectar y resolver un importante agujero de seguridad.

En HM Hospitales también forman a los empleados en seguridad y les recomiendan proteger sus claves como si de su tarjeta de crédito se tratara . “Que no dejen apuntada su contraseña en la pantalla, porque hace unos años era muy común y esto ya se ha ido solucionando”, detalla Gordo.

Ahora bien, ¿son seguros los ordenadores que utiliza el personal de los hospitales? Alonso nos detalla que los equipos de los puestos de trabajo de la Comunidad de Madrid funcionan con Windows, aunque no especifica las versiones. Ángel Gil, jefe del Servicio de Informática del hospital Ramón y Cajal, nos comenta que en los puestos de usuario tienen desde Windows 2000 hasta Windows 8.1., aunque están migrando todos los equipos a esta versión. Mientras, en HM Hospitales acaban de terminar la migración de Windows XP a Windows 7.

“Trabajar ahora mismo con Windows 2000 o XP, acceder a páginas web o tenerlo simplemente en red es como tener un ordenador expuesto a todo el mundo. Son sistemas vulnerables por defecto”, critica Rubén Santamarta. Eso sí, considera lógico esperar para instalar el nuevo Windows 10 en estos sistemas por si hubiera problemas de compatibilidad.

¿SE CONTROLA QUIÉN ACCEDE A MIS DATOS?

Gil también nos explica que el acceso a los sistemas de información en el Ramón y Cajal está controlado por perfiles, se filtran los contenidos de internet que pueden consultar algunos usuarios y queda traza de toda la actividad.

“La trazabilidad es muy importante no solo porque obligue la LOPD, sino porque también sirve para delimitar responsabilidades si hubiera alguna mala praxis”, afirma Daniel López Carballo, abogado experto en privacidad y tecnologías de la información del  bufete Écija. De hecho, hace dos años, el Tribunal Superior de Justicia de Navarra condenó al Servicio Navarro de Salud a pagar una sanción 125.000 euros por el acceso ilegítimo y masivo del personal sanitario a las fotografías incluidas en el historial médico de una paciente fallecida: se habían realizado casi 3.000 accesos por parte de más de 400 usuarios.

En HM Hospitales, los médicos solo pueden acceder por completo desde su ‘software’ al historial de sus propios pacientes: ven una parte del historial del resto, pero no pueden modificarlo. Algunos jefes de equipo tienen acceso a la información desde fuera del hospital a través de redes VPN, pero en ningún caso queda grabada en el dispositivo que utilicen.

Si algún atacante lograra entrar en la aplicación, ” te podrían sacar algún informe, pero tendrían que ir paciente por paciente. Se tirarían horas”, explica Arturo Gordo. El único medio para extraer información masiva de sus bases de datos sería realizar un ataque de fuerza bruta “durante bastante tiempo y dentro del hospital”, añade, si bien asegura que se encontrarían con dificultades para acceder a ella.

Tanto el Ramón y Cajal como los centros de HM Hospitales cuentan con ‘firewalls’ y cifran las comunicaciones. Eso sí, Ángel Gil puntualiza que el Ramón y Cajal están trabajando actualmente para mejorar en este sentido, especialmente cuando se trata de transmisiones internas. “Los sistemas no cifrados son un vector de ataque muy común”, puntualiza Rubén Santamarta.

¿MEJOR PÚBLICO O PRIVADO?

“En mi opinión personal, como las sanciones no se aplican a la pública, los niveles de seguridad son más bajos. Que yo pierda un millón de euros a la empresa le hace un agujero importante”, explica Arturo Gordo. Este profesional de HM Hospitales se refiere de esta forma a las posibles sanciones que fija la LOPD: hasta 300.000 euros por mantener ficheros, programas o equipos sin las debidas condiciones de seguridad.

Además de las sanciones, “debe recordarse la incidencia en la intimidad personal y familiar de los pacientes, exigible judicialmente, así como el daño reputacional y corporativo”, detalla el abogado Daniel López Carballo, que califica como “difícilmente calculables” los costes de un robo masivos de datos para un hospital.

Pese a todos los esfuerzos por proteger los sistemas, Gordo admite que en banca suelen tener niveles de seguridad “mucho más altos que en la sanidad”, una opinión que no comparte el jefe de esta área del Ramón y Cajal. En su opinión, cuando se trata de la salud, “las medidas de seguridad deben ser mayores a las de otros sectores”.

Santamarta considera que la mayoría de medidas de seguridad mencionadas por las fuentes que hemos consultado son positivas y contribuyen a reducir la superficie de ataque y minimizar los riesgos, pero cree que siempre se podrían buscar fallos en la configuración de la red para acceder a los servidores donde se almacenan los datos de los pacientes. ” Siempre va a haber un punto débil o se puede atacar a la persona, que suele ser el punto más débil”, asevera.

Hacer creer a un trabajador que tiene que introducir de nuevo sus credenciales, enviarle un troyano o hacerle visitar una página web que contenga un ‘exploit’ serían algunas de las tácticas que los cibercriminales podrían utilizar para atacar un hospital o una aseguradora. La protección total no existe, y Santamarta cree que simplemente tenemos la suerte de que en España los cibercriminales no pueden hacer negocio con nuestros datos, razón por lo que no se dedican a atacar esos sistemas.

LAS VULNERABILIDADES DE MARCAPASOS Y DESFIBRILADORES

Los dispositivos médicos conectados a la red del hospital también pueden convertirse en un medio para que los cibercriminales ataquen. Así lo han demostrado los expertos en seguridad de la compañía estadounidense TrapX, que han descubierto cómo un grupo de atacantes consiguió acceder a los datos confidenciales de tres hospitales a través de analizadores de gases en sangre, un Sistema de Archivo y Comunicación de Imagen (PACS) usado en radiología y un sistema de Rayos X.

Ninguno de los centros se había percatado de los ataques, por lo que TrapX cree que muchos otros hospitales podrían estar infectados con ‘malware’ por culpa de estos dispositivos, que en muchas ocasiones utilizan ‘software’ anticuado y vulnerable.

Especialmente inquietantes son las investigaciones del experto en seguridad Billy Rios, que afirma haber encontrado vulnerabilidades en cinco modelos de bombas de infusión de fármacos de Hospira (una empresa que ha instalado 400.000 de sus bombas en hospitales de todo el mundo) por las que un atacante podría controlar remotamente la cantidad de fármacos que se administran al paciente.

El célebre ‘hacker’ Barnaby Jack estudió la posibilidad de atacar un marcapasos, aunque murió justo antes de desvelar los detalles de su investigación en la conferencia de seguridad Black Hat. Neuroestimuladores, desfibriladores internos y biosensores son otros de los dispositivos médicos implantables (IMD) que se están poniendo de moda en los últimos años.

Según una encuesta de la Asociación Europea de Ritmo Cardíaco a 43 centros sanitarios de 15 países europeos, la monitorización remota está ya disponible para el 22% de los pacientes con marcapasos y el 74% con desfibriladoresautomáticos implantables. Aunque los IMD que permiten el envío de información a distancia mediante comunicación inalámbrica mejoran el control del estado de los pacientes y facilitan la comunicación en caso de emergencia, incluir fuertes medidas de seguridad es esencial para evitar ciberataques.

“Al comunicarse de manera inalámbrica, la información volcada en el canal pasa a ser accesible a quien pueda escucharlo”, nos explica Carmen Cámara, investigadora del Computer Secutiry Lab de la Universidad Carlos III de Madrid (COSEC). “El sistema se vuelve inseguro y surgen las mismas amenazas que se dan en dispositivos informáticos comunes como un PC o un móvil, solo que en estecaso las consecuencias derivadas son mucho más graves, ya que pueden acabar con la vida del paciente”.

Coautora de un estudio sobre los problemas de privacidad y seguridad de los IMD, Cámara cree que reforzar la seguridad de la siguiente generación de implantes es fundamental, ya que existen ataques probados en laboratorio. Considera que es cuestión de tiempo que aparezcan amenazas reales, por lo que cree que deben tomarse tanto medidas tecnológicas como legales antes de que los IMD estén totalmente extendidos.

Ya en 2007, el por entonces vicepresidente de Estados Unidos, Dick Cheney,desactivó la función inalámbrica de su marcapasos por miedo a que los ciberdelincuentes tomaran el control del dispositivo, justamente lo que le sucedió después a su homólogo en la serie de televisión ‘Homeland’.

Por el momento, el asesinato a través del marcapasos pertenece al terreno de la ficción, pero ” que no conozcamos casos no quiere decir que nunca se hayan dado. Eso nunca lo vamos a saber”, concluye Santamarta. De una forma u otra, lo que parece claro es que la ciberseguridad en sanidad es más importante que nunca. Si con el dinero no se juega, con la salud mucho menos.