La Asociación Española de Fundaciones y el Instituto de Diplomacia Corporativa (IIDC) han organizado una sesión sobre ciberseguridad en el ámbito de la Salud que ha contado con la participación de Fernando Velasco, director de la Cátedra Servicios de Inteligencia y Sistemas Democráticos de la URJC; y de Carlos García, director de Ciberseguridad de Kroll España. Un tema que preocupa especialmente a laboratorios, grupos sanitarios y a la propia Administración, habida cuenta de que cada año el número de ciberataques contra esta industria aumenta en alrededor de un 20%, un porcentaje que se incrementa de forma gradual debido al perfeccionamiento de los dispositivos electrónicos, que cada vez burlan con mayor precisión los sistemas de seguridad de hospitales o aseguradoras.

“En la actualidad, existen especialistas que ofrecen el llamado Crimen como Servicio, consistente en proveer de herramientas cibernéticas a individuos u organizaciones con las que estos pueden llevar a cabo ciberataques contra, por ejemplo, una empresa a precios razonables y con casi total impunidad”, afirma Carlos García. En su opinión, el desarrollo de la tecnología big data está sirviendo para implementar cientos de ataques simultáneos perfectamente dirigidos, “la mayoría de los cuales son encargos específicos” por parte de competidores, principalmente, que ven en este tipo de actividades una nueva manera de espionaje industrial.

En palabras de Fernando Velasco, “los informes médicos de los pacientes tienen más valor en el mercado negro que la información financiera de las personas. Esto se debe tanto a que no se puede alterar el historial médico como a que no tienen caducidad, lo que hace de ellos un material especialmente sensible”. En su experiencia, los ciberdelincuentes en la industria sanitaria no sólo buscan tener acceso a la información personal de los pacientes, sino, también, a investigaciones y estudios de carácter confidencial, a datos internos de la entidad y a activos protegidos por los derechos de propiedad intelectual, como las patentes.

El actual periodo de transición tecnológica junto a la vulnerabilidad de los sistemas hace que nos encontremos en un momento de riesgo especialmente sensible para el sector sanitario.  “Laboratorios, hospitales o clínicas cuentan con una red de dispositivos y sistemas que, además de estar conectados entre sí a nivel interno, la mayoría suelen estarlo también a sistemas externos, lo que propicia el interés de los hackers”, señala García. En su expresa, Kroll, son conscientes de un ciberataque ya podría a día de hoy impedir el correcto funcionamiento de escáneres de resonancia magnética, equipos de cardiología o equipos médicos radiactivos. También, no hay que olvidar que las instalaciones disponen de luz, aire acondicionado y calefacción, servicios que pueden ser alterados por un ciberdelincuente.

A pesar de los esfuerzos que se está realizando desde la Administración, como, por ejemplo, a través del Instituto Nacional de Ciberseguridad (Incibe), los expertos han resumido algunas pautas que las empresas deben llevar a cabo para prevenir en la medida de lo posible un ciberataque. Entre ellas, cabe destacar contar con protocolos internos adecuados, invertir en sistemas de cortafuegos ante eventuales intrusiones o diseñar planes específicos de formación a los empleados. “Existe un reto global de establecer una regulación contundente contra este problema; la cuestión no es ya si seremos atacados o no a través de nuestros dispositivos, sino cuándo lo sufriremos, y para ello hay que estar prevenidos y contar con la inteligencia previa precisa para minimizar el daño”, ha subrayado Fernando Velasco.