Aumentan los ciberataques al sector sanitario: el modelo de seguridad de confianza cero podría ayudar

A medida que las organizaciones sanitarias siguen evolucionando digitalmente, una cosa ha quedado clara: el bienestar del paciente no puede ser prioridad si los sistemas digitales que lo sustentan están amenazados. Según el Journal of the American Medical Association, la frecuencia de los ciberataques a hospitales y sistemas sanitarios de Estados Unidos aumentó más del doble entre 2016 y 2021.

Un estudio de Check Point Software Technologies confirma esta tendencia, revelando que el sector sanitario experimentó una media de 1684 ataques semanales en el primer trimestre de 2023, lo que supone un incremento interanual del 22%. Esto convierte a la sanidad en el tercer sector más atacado en 2023, por delante de las finanzas, los seguros y las comunicaciones.

Estas estadísticas son alarmantes, pero tienen una explicación. El sector sanitario es una auténtica mina de oro de datos, muchos de los cuales se gestionan a través de sistemas informáticos obsoletos fáciles de explotar. Según una encuesta de la Healthcare Information and Management Systems Society, el 73% de las organizaciones sanitarias utilizan sistemas informáticos heredados, cuyo mantenimiento es costoso y que suelen presentar lagunas de seguridad. Esto convierte al sector en un objetivo fácil -y potencialmente lucrativo- para los operadores de ransomware. Pero esta vulnerabilidad no se debe únicamente al software y los sistemas, sino también a la forma en que se gestionan los datos y los dispositivos dentro de cada organización.

Existe una división de responsabilidades cuando se trata de ciberresiliencia en sectores como la sanidad. Por un lado, está la aplicación de la seguridad y, por otro, el control y las políticas de la red. Esto se refleja mejor en los "siete pilares de la confianza cero" definidos por los marcos de Forrester y el Instituto Nacional de Normas y Tecnología (NIST).

La confianza cero es un modelo de seguridad que funciona según el principio de "nunca confíes, verifica siempre". Esto significa que el acceso a recursos y datos nunca debe darse por seguro, aunque sea dentro del perímetro de la red.

Los cinco primeros pilares son usuarios, dispositivos, redes, cargas de trabajo y datos. Estos pilares constituyen el elemento de ejecución del marco, que aplica el principio de "mínimo privilegio" exigiendo comprobaciones continuas de identidad y verificación. Los otros dos pilares son la visibilidad y el análisis y la automatización y orquestación. Estos pilares conforman el elemento de control y políticas del marco, mejorando la postura de seguridad de una organización mediante la supervisión en tiempo real y las respuestas automatizadas en caso de violación de la seguridad.

La unión de estos pilares permite a las empresas crear un entorno de confianza cero. Esto es precisamente lo que las organizaciones sanitarias necesitan implementar para defenderse del creciente número de ataques.

Hay algunos errores comunes que muchas organizaciones sanitarias cometen cuando se trata de supervisar su red en busca de amenazas, pero el enfoque de confianza cero puede ayudar a rectificarlos.

Al igual que es mejor vacunar a un paciente para evitar que se infecte, es mejor detectar y prevenir los ciberataques sanitarios antes de que se manifiesten en una red. Las soluciones de detección de amenazas en tiempo real pueden ayudar a descubrir patrones de tráfico anómalos, mientras la inteligencia de amenazas en tiempo real puede bloquear activamente el malware antes de que penetre en una red.

A medida que las organizaciones sanitarias siguen digitalizando sus servicios, su huella en la red crece. Los dispositivos vulnerables (endpoints) se extienden ahora a hogares y otras oficinas, en lugar de a un único emplazamiento, por lo que es importante "segmentar" o separar la red en grupos más manejables mediante cortafuegos (firewalls) y protección a nivel de dispositivo. Al igual que un hospital puede colocar puertas cortafuegos alrededor de su edificio para evitar la propagación del fuego, una red debe contar con barreras para evitar la propagación lateral de cualquier malware.

Un hospital medio de 500 camas puede tener hasta 10 000 dispositivos de Internet de las Cosas (IoT) conectados para supervisar, almacenar y transmitir información sobre los pacientes y otros datos confidenciales. La aplicación de una política de confianza cero comenzará con la identificación de estos dispositivos en la red y, a continuación, aplicará automáticamente una política de mínimos privilegios y confianza cero, de modo que solo los sistemas pertinentes, o aquellos que requieran acceso para cumplir con su función, podrán acceder a los dispositivos.

Para que los controles de seguridad sean eficaces, deben seguir el ritmo de la innovación. Implantar retroactivamente controles de seguridad en las aplicaciones existentes significa que la seguridad siempre va un paso por detrás de la innovación. Para cerrar la brecha y garantizar una seguridad continua, los códigos de seguridad deben integrarse en el proceso de desarrollo de aplicaciones lo antes posible.

La aplicación de los principios de confianza cero es esencial para que las organizaciones sanitarias garanticen la seguridad de los datos de los pacientes y las infraestructuras críticas. La supervisión de la red es un subconjunto de la visibilidad y el análisis de confianza cero. Es esencial cuando se trata de identificar y categorizar la información y comprender el flujo de datos.

Las cargas de trabajo se refieren a cualquier aplicación o servicio que opere en centros de datos privados o nubes públicas y es aquí donde debe aplicarse el principio del mínimo privilegio o "nunca confíes, siempre verifica". Las organizaciones sanitarias pueden reforzar sus cargas de trabajo de aplicaciones con confianza cero implantando la verificación continua de identidades y aplicando operaciones preventivas de seguridad en tiempo real.

La confianza cero puede implantarse en cualquier aplicación local o en la nube, en función de las necesidades de seguridad de la organización. Un hospital central, por ejemplo, puede tener necesidades diferentes a las de una residencia de ancianos o un proveedor de atención domiciliaria, donde los empleados se desplazan con dispositivos o estos se encuentran en distintas ubicaciones.

También hay que clasificar los datos para protegerlos de la manera adecuada. Por ejemplo, la protección de datos no estructurados, como texto, fotos, vídeo, audio y cirugía a distancia con sistemas robóticos, como "Da Vinci", requerirá diversos grados de protección y control.

Los pilares de la confianza cero pueden desplegarse y aplicarse de diversas formas para proteger las vías de datos y automatizar las respuestas a las amenazas, pero el objetivo subyacente sigue siendo el mismo: "nunca confíes, verifica siempre". Se trata de una "cibercultura" que las organizaciones sanitarias deben adoptar si quieren capear el temporal que se avecina.