La ciberseguridad del sector salud: Un llamado a la acción urgente
En recientes eventos que sacudieron al sistema de salud del Reino Unido, el antiguo director ejecutivo del Centro Nacional de Ciberseguridad (NCSC), Ciaran Martin, alertó sobre futuras amenazas cibernéticas si no se modernizan los sistemas computacionales de la NHS. Estos ataques comprometieron severamente los servicios de salud en Londres, subrayando una problemática que ya es global: los ciberataques al sector salud.
Martin no se mostró sorprendido ante estos incidentes, describiendo el ataque de ransomware como uno de los más graves en la historia de su país. En respuesta, NHS Inglaterra ha invertido más de 338 millones de libras en aumentar su capacidad de ciberseguridad en los últimos siete años, pero las advertencias del experto sugieren que aún más acciones son necesarias y con urgencia.
Un reporte reciente de la Asociación Médica Británica destaca la obsolescencia en la infraestructura informática de la NHS, revelando que los médicos pierden alrededor de 13.5 millones de horas anuales debido a sistemas anticuados. Esta cifra equivale al tiempo de trabajo de 8,000 médicos a tiempo completo, una pérdida significativa que no solo afecta la eficiencia, sino también la seguridad de los pacientes.
El ataque del 3 de junio, que afectó gravemente a Synnovis, una organización de pruebas patológicas, tuvo repercusiones enormes en varios hospitales, incluyendo Guy’s, St Thomas’, King’s College y el Evelina London Children’s Hospital. Más de 4,900 citas ambulatorias y 1,391 operaciones fueron pospuestas, generando preocupaciones significativas sobre la seguridad de los datos.
El ataque cibernético fue atribuido a Qilin, un grupo de hackers con sede en Rusia, conocido por demandar un rescate de 40 millones de libras. Cuando la NHS se negó a pagar, los atacantes filtraron los datos robados en la dark web, una tendencia preocupante de grupos cibercriminales rusos focalizados en sistemas de salud a nivel global.
Martin, ahora profesor en la Universidad de Oxford, subraya tres áreas críticas que la NHS debe abordar: sistemas informáticos desactualizados, la identificación de puntos vulnerables y la implementación de prácticas básicas de seguridad. Identificar “puntos únicos de fallo” y mejorar las medidas de respaldo son esenciales. Las mejoras en seguridad básica, como el uso de contraseñas fuertes y la autenticación multifactor, pueden hacer que el acceso para los atacantes sea significativamente más difícil.
El panorama se agrava más cuando se escuchan las voces del personal médico. Un doctor en cuidados intensivos en Londres expresó su preocupación por el uso de equipos anticuados, describiendo situaciones donde los sistemas se bloquean frecuentemente y la falta de un sistema unificado que permita el acceso a información crítica entre diferentes hospitales. Estas deficiencias tecnológicas no solo representan un riesgo para la ciberseguridad, sino que también ponen en peligro la seguridad del paciente.
La implementación de medidas básicas como la autorización multifactorial podría prevenir muchos ataques. Dr. Daniel Gardham, del Centro de Ciberseguridad de la Universidad de Surrey, afirmó que muchas veces las brechas de seguridad se deben a errores básicos, como contraseñas débiles o equipos desatendidos.
A pesar de los esfuerzos y las inversiones realizadas, la vulnerabilidad sigue latente. NHS Inglaterra ha declarado que su ambicioso Programa de Mejora Cibernética pretende responder a las amenazas cambiantes, aumentar la protección y reducir el riesgo de un ataque exitoso.
En resumen, la ciberseguridad en el sector salud no es solamente una preocupación tecnológica, sino un asunto crítico de seguridad del paciente. La urgencia de modernizar los sistemas y adoptar prácticas de seguridad robustas no puede ser subestimada, ya que los costos de no actuar son simplemente demasiado altos.