A medida que avanza la transformación digital en salud, aumentan los ataques cibernéticos de hackers que piden rescates económicos a cambio de devolver datos que previamente han robado. En 2017, un ataque conocido como WannaCry inhabilitó los sistemas del Servicio Nacional de Salud en el Reino Unido y generó un costo de aproximadamente 100 millones de libras (unos 137 millones de dólares). En 2020, durante los primeros meses de pandemia, se registraron importantes ataques de este tipo en países como la Republica Checa, los Estados Unidos o Alemania.
Los ciberataques no siempre están limitados a hospitales ni a ransomware, un tipo de malware que secuestra la información de un sistema y pide un rescate económico. Por ejemplo, el ataque conocido como NotPetya en 2017 aparentaba ser ransomware pero su propósito era puramente destruir datos del software infectado. NotPetya es hasta el día de hoy el ciberataque más dañino en la historia del Internet y causó perjuicios estimados de 10 mil millones de dólares –870 fueron asumidos por la farmacéutica Merck, y el resto fueron a cargo de otras multinacionales como FedEx y Maersk.
Ataques cibernéticos en el sector salud: los más dañinos
El sector salud no sólo fue uno de los más atacados por los hackers en 2019, sino que es la industria que ha sufrido los ataques más dañinos en los últimos años. El costo promedio de un ciberataque en el sector salud en términos de pérdida de negocio, gastos de prevención, detección y recuperación equivale a 7.13 millones de dólares en comparación a los 3.86 millones que, en promedio, cuestan los ciberataques en cualquier otra industria. A esto se suma que los datos que maneja el sector son confidenciales y sumamente sensibles. Por lo tanto, el impacto no material puede ser también sumamente grave.
En América Latina y el Caribe la tendencia de los ciberataques es creciente. En Brasil, el costo promedio de un ciberataque se incrementó en 10.5% entre 2019 y 2020. Es importante notar que el 80% de la información comprometida son datos personales y que en el sector salud es en el que más tiempo toma detectar que la información fue vulnerada. Desde el momento que un ataque es exitoso hasta que la institución se da cuenta que sus datos fueron vulnerados pasan en promedio 329 días. Nuestra región, de hecho, presenta uno de los mayores tiempos de detección de ataques del mundo.
El avance de la transformación digital en salud
Los proyectos de transformación digital de la salud han cobrado velocidad en años recientes, especialmente en América Latina y el Caribe. Estos proyectos tienen el potencial de mejorar la calidad y eficiencia de los servicios de salud que se prestan en la región. La telemedicina, por ejemplo, dio grandes saltos y fue clave en la prestación de servicios de salud durante la pandemia de COVID-19. Sin embargo, este proceso de transformación digital en el sector no solo mejora la calidad de la información que se utiliza para la prestación de servicios y la toma de decisiones, sino que también introduce el riesgo intrínseco de sufrir un ciberataque. Por ejemplo, una de las inversiones más comunes en el proceso de transformación digital en salud es la digitalización de imágenes médicas. Un estudio analizó los sistemas de gestión de imágenes médicas más comunes y se encontraron fuertes vulnerabilidades que permitieron a los autores robar imágenes de la cadera de un paciente e imprimirla en 3-D. Este tipo de vulnerabilidasdes deja la puerta abierta a que información sensible, como condiciones de salud crónicas, puedan ser utilizadas de forma similar a los ataques de ransomware u otras formas de extorsión.
¿Están los países de América Latina y el Caribe preparados ante los ciberataques?
América Latina y el Caribe está relativamente poco protegida en comparación con el resto del mundo. Según el estudio realizado por la OEA y el BID, aunque nuestra región ha venido fortaleciendo sus capacidades en ciberseguridad, al día de hoy sigue enfrentando importantes desafíos. Aún existen en muchos países actividades e iniciativas ad-hoc sin visión estratégica. Un dato: solo 13 países de nuestra región tienen una estratégia nacional de ciberseguridad. Según el Global Cybersecurity Index de ITU, de 55 países que destacan por su compromiso con la ciberseguridad solo uno (Uruguay) es de América Latina y el Caribe.
Es bien sabido que la inversión en la mejora de sistemas y en la digitalización de información tiene que ir más allá de la compra de software o hardware, y que necesariamente debe ir acompañada por un trabajo holístico que aborde la mejora de procesos, la gestión del cambio y, por supuesto, la ciberseguridad. A medida que se invierte en sistemas y en información, la calidad de esos datos mejora y hacemos nuestra información más valiosa.
La mejor defensa: formar capital humano
En el mundo, hay alrededor de 3.5 millones de profesionales de la ciberseguridad. Sin embargo, la demanda por este tipo de habilidades es mucho mayor a la oferta de talento. Solo en Estados Unidos se calcula que hay 1 millón de posiciones activas y medio millón sin ocupar.
Si queremos fortalecer nuestros sistemas de ciberseguridad en América Latina y el Caribe, es necesario formar capital humano y poner en funcionamiento herramientas que ayuden a la implementación de políticas de ciberseguridad –como por ejemplo marcos de ciberseguridad. A su vez, la ejecución de auditorías técnicas y de gestión ayuda a identificar vulnerabilidades en nuestros sistemas. Existen herramientas automatizadas que pueden ayudar con estos procesos como es ANA, una herramienta desarrollada por el CCN-CERT de España que ayuda a la implementación de auditorías automáticas. Estamos a tiempo de fortalecer nuestras defensas y evitar el tipo de ataques que han generado altos costos económicos en otras regiones y que pueden comprometer información y labores en un sector tan esencial como el sanitario. Consideremos entonces la inversión en ciberseguridad de la información en paralelo a la mejora de la calidad de la información que generamos en el sector.
¿Ya te uniste a nuestra campaña pasa vibilizar a mujeres en salud digital? ¡Haz clic en el post debajo!
Leave a Reply