El 75 % del sector sanitario en EE. UU. sufrió interrupciones operativas por ciberataques en 2023

Introducción

La ciberseguridad en el sector sanitario vuelve a situarse en el centro del debate tras la publicación del informe anual “Ciberinseguridad en sanidad: El coste y el impacto en la seguridad y la atención del paciente”, elaborado conjuntamente por Proofpoint y el Instituto Ponemon. El estudio, que recoge datos de cientos de organizaciones sanitarias estadounidenses, revela que el 75 % de las entidades encuestadas experimentó interrupciones operativas a consecuencia de ciberataques. Esta cifra, alarmante por sí misma, pone de manifiesto tanto la criticidad de la infraestructura sanitaria como la sofisticación creciente de las amenazas digitales. En este artículo, se analizan en profundidad los hallazgos del informe, los vectores de ataque predominantes, las tácticas empleadas por los actores de amenazas y las implicaciones para la operatividad, la seguridad de los datos y el cumplimiento normativo en el sector sanitario.

Contexto del Incidente

El informe de Proofpoint y Ponemon Institute, basado en la encuesta a más de 600 profesionales de TI y seguridad de organizaciones sanitarias de EE. UU., constata un incremento sostenido de los incidentes de ciberseguridad respecto a años anteriores. El sector sanitario, tradicionalmente rezagado en inversiones en ciberseguridad por la complejidad de sus sistemas heredados y la crítica necesidad de disponibilidad, se ha convertido en un objetivo prioritario para atacantes, especialmente grupos de ransomware.

Los incidentes reportados en 2023 no solo afectaron la confidencialidad de los datos personales y clínicos, sino que, en el 75 % de los casos, generaron interrupciones en la prestación de servicios asistenciales, afectando desde sistemas de gestión hospitalaria (HIS) y dispositivos médicos conectados (IoMT), hasta redes de comunicación internas y registros electrónicos de pacientes (EHR).

Detalles Técnicos: Vectores de Ataque y Tácticas

Según los datos recabados, los principales vectores de ataque identificados en el informe son el phishing, la explotación de vulnerabilidades en software no actualizado y la utilización de credenciales comprometidas. El ransomware continúa siendo la amenaza predominante, con variantes conocidas como LockBit, BlackCat (ALPHV) y Royal, que han evolucionado sus TTP (Tácticas, Técnicas y Procedimientos) siguiendo las matrices de MITRE ATT&CK, empleando técnicas como:

– Initial Access (T1190): Explotación de vulnerabilidades en VPN, Citrix ADC, Apache Log4j (CVE-2021-44228), y dispositivos médicos sin parchear.
– Lateral Movement (T1075): Uso de herramientas legítimas como RDP, PsExec o Cobalt Strike para desplazamiento lateral en la red.
– Data Exfiltration (T1041): Robo de datos sensibles previo al cifrado, con métodos de doble extorsión.
– Impact (T1486): Cifrado de sistemas críticos y almacenamiento.

Entre los indicadores de compromiso (IoC) más comunes se encuentran direcciones IP asociadas a servidores C2 (Command & Control), hashes de archivos maliciosos y dominios utilizados en campañas de spear phishing dirigidas a personal sanitario.

Impacto y Riesgos

La interrupción de servicios esenciales ha tenido un impacto directo en el 48 % de los casos analizados, generando demoras en diagnósticos, cancelaciones de procedimientos quirúrgicos y, en situaciones extremas, afectando potencialmente la seguridad del paciente. El informe estima que el coste medio de un ciberataque en el sector sanitario supera los 10 millones de dólares, incluyendo gastos asociados a la recuperación, pérdida de ingresos, sanciones regulatorias (como las impuestas bajo HIPAA y GDPR), y daños a la reputación corporativa.

Además, la exposición de información sensible ha incrementado el riesgo de demandas colectivas y la obligatoriedad de notificaciones de brechas según la normativa NIS2 y la GDPR en el caso de organizaciones con operaciones internacionales.

Medidas de Mitigación y Recomendaciones

El informe recomienda reforzar la seguridad perimetral y la segmentación de redes, implementar MFA (autenticación multifactor) en todos los accesos remotos y privilegiados, y establecer una política estricta de gestión de parches, especialmente en dispositivos médicos IoMT y sistemas legacy.

En cuanto a la respuesta ante incidentes, se subraya la importancia de contar con planes de contingencia actualizados, pruebas regulares de respaldo y restauración de datos, así como la formación continua del personal para la detección de correos electrónicos de phishing y otras técnicas de ingeniería social.

Opinión de Expertos

Michael McNeil, Director de Ciberseguridad en una de las principales redes hospitalarias de EE. UU., destaca: “El sector sanitario debe evolucionar hacia un modelo zero trust, priorizando la visibilidad de los activos y el análisis de comportamiento frente a amenazas avanzadas. Los ataques de ransomware ya no son incidentes aislados, sino campañas orquestadas que buscan maximizar el daño operativo y financiero”.

Implicaciones para Empresas y Usuarios

La convergencia de TI y OT en sanidad, junto con la creciente conectividad de dispositivos IoMT, amplifica la superficie de ataque. Los responsables de seguridad (CISO), analistas SOC y administradores de sistemas deben considerar la integración de soluciones EDR/XDR, el uso de frameworks como MITRE ATT&CK para mapear amenazas, y la colaboración con CERTs sectoriales para el intercambio de información sobre IoC y amenazas emergentes.

Para los pacientes, la exposición de datos personales y clínicos incrementa el riesgo de fraude y suplantación, mientras que para las organizaciones, la inobservancia de regulaciones como NIS2 y GDPR puede acarrear sanciones millonarias.

Conclusiones

El informe de Proofpoint y Ponemon confirma la elevada exposición del sector sanitario a ciberamenazas avanzadas y la necesidad urgente de adoptar estrategias proactivas de defensa en profundidad. La ciberresiliencia se convierte en un imperativo no solo para proteger la información, sino para garantizar la continuidad asistencial y la seguridad del paciente en un entorno cada vez más digitalizado.

(Fuente: www.cybersecuritynews.es)