Violaciones de datos en el sector sanitario: la amenaza persiste a pesar de la reducción de costes

El sector sanitario sigue siendo un objetivo prioritario para los ciberdelincuentes, a pesar de que se han logrado avances alentadores en los costes derivados de las filtraciones. En 2024, el coste medio de una filtración de datos se redujo a 9,77 millones de dólares, frente a los 10,93 millones de 2023{{Footnote.N76502}}.

Sin embargo, no deberíamos relajarnos con esta reducción: la sanidad sigue siendo el sector que más ataques cibernéticos sufre, con consecuencias potencialmente devastadoras tanto para los pacientes como para los profesionales sanitarios.

Vulnerabilidades de la seguridad de los datos sanitarios

Lo centros sanitarios, desde consultas médicas, clínicas, hospitales y centros de diagnóstico por imagen y pruebas diagnósticas y de investigación, se enfrentan a un conjunto de retos particular en materia de seguridad de los datos a causa de varios factores:

• El complejo flujo de datos médicos confidenciales entre distintos dispositivos y sistemas, como escáneres de tomografía computarizada, ecógrafos y ordenadores de administración, genera multitud de focos potencialmente vulnerables a la pérdida de datos.
• Muchas organizaciones carecen de suficientes especialistas en ciberseguridad y de estrategias de seguridad coherentes, y a menudo toman decisiones improvisadas sobre la compra de equipos y software cuando hay excedente de presupuesto, en lugar de ajustarse a un plan de seguridad integral. Esto es especialmente evidente en el caso de los centros médicos más pequeños, pero también se ve agravado por la escasez mundial de expertos en ciberseguridad.

Estas vulnerabilidades, sumadas a la naturaleza crítica de las actividades sanitarias, exigen que las organizaciones no se limiten a medidas de seguridad reactivas, sino que desarrollen estrategias de protección integrales y proactivas. Las consecuencias de no hacer frente a estos retos pueden ser graves y de gran alcance.

El gran impacto de las filtraciones de datos

Cuando las organizaciones sanitarias sufren una filtración de datos, las consecuencias van mucho más allá de pérdidas financieras inmediatas:

• La confianza de los pacientes se reduce enseguida cuando su historial médico está en peligro, lo que puede acarrear graves consecuencias para la salud si la información relacionada con tratamientos se altera o si se pierde el acceso a ella.
• A menudo, los profesionales sanitarios están expuestos a sufrir daños significativos en su reputación, con la consiguiente disminución de pacientes inscritos e inestabilidad financiera.
• Las interrupciones operativas pueden ser de gran envergadura y requerir importantes recursos para restaurar los sistemas y los datos, al tiempo que se gestionan el aumento de los costes y la pérdida de ingresos.

Tal es la magnitud de este problema, que una encuesta realizada por Sophos en 2024{{Footnote.N76503}} reveló que el 37 % de las instituciones sanitarias necesitaron más de un mes para recuperarse de los ataques de ransomware, y con casi todas las víctimas informando de intentos de comprometer sus sistemas de copia de seguridad.

El reto cada vez mayor del ransomware

El ransomware continúa siendo una de las amenazas más graves para los centros sanitarios de todo el mundo. En 2023, estos ataques representaron el 54 % de los incidentes de ciberseguridad en la Unión Europea. Lo más preocupante es que solo el 27 %{{Footnote.N76504}} de los centros médicos encuestados habían implementado programas específicos de protección contra el ransomware.

Las organizaciones sanitarias son objetivos especialmente atractivos por su naturaleza operativa crítica y la sensibilidad de sus datos. Cuando se vulneran los sistemas de atención al paciente, los centros médicos se enfrentan a una inmensa presión para restablecer los servicios cuanto antes, lo que a menudo hace que estén más dispuestos a pagar rescates que las organizaciones de otros sectores.

Hay mucho en juego. Los retrasos en el tratamiento o el acceso al historial médico pueden tener una repercusión directa en la evolución de los pacientes.

Los ataques modernos de ransomware han evolucionado. Ya no se trata del mero cifrado de datos, sino que ahora implican el robo de los datos y estrategias de doble extorsión, en las que los delincuentes amenazan con publicar información sensible de los pacientes si no realizan pagos adicionales.

Esto pone a los profesionales sanitarios en la difícil posición de sopesar las preocupaciones por la privacidad de los pacientes, por un lado, y la continuidad del servicio, por otro.

A pesar de la gravedad de estas amenazas, la implementación de medidas de protección específicas contra el ransomware sigue siendo deficientes en todo el sector. Muchas instituciones carecen de una segmentación adecuada de la red, de protocolos sólidos de copias de seguridad o de planes de respuesta integrales ante incidentes adaptados a escenarios de ransomware.

El cumplimiento y la normativa mundial sobre ciberseguridad

Los Gobiernos de todo el mundo han reconocido la necesidad de reforzar las medidas de protección de datos en el sector sanitario. En consecuencia, están implementando reglamentos cada vez más estrictos para hacer hincapié en la gravedad de las amenazas a las que está expuesta la sanidad.

En un primer nivel, la Unión Europea ha implantado el Reglamento General de Protección de Datos (RGPD) para la seguridad general de los datos, mientras que la directiva NIS2 aborda la seguridad de las redes y de la información en sectores específicos, incluido el sanitario.

En Estados Unidos, la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) sigue evolucionando, y las actualizaciones recientes refuerzan las medidas de protección en materia de ciberseguridad para la Información Sanitaria Electrónica Protegida (ePHI).

La Comisión Europea también ha propuesto un Plan de Acción sobre Ciberseguridad en la Sanidad para mejorar la resiliencia del sector frente a los ataques, al reconocer que los reglamentos por sí solos no son suficientes si no se respaldan con una formación y un apoyo adecuados.

Para cumplir estos requisitos normativos se necesitan soluciones técnicas eficaces, y el cifrado desempeña un papel especialmente importante en la protección de los datos sensibles. Sin embargo, no todas las soluciones de cifrado ofrecen el mismo nivel de protección y cumplimiento.

¿Por qué el cifrado por hardware es fundamental para proteger los datos sanitarios?

Cuando se trata de proteger los datos relacionados con la sanidad, no todas las soluciones de cifrado son comparables. El cifrado por hardware ofrece un nivel de protección superior en comparación con las alternativas basadas en software, sobre todo frente a ataques sofisticados e intentos de manipulación. Esto es especialmente importante cuando se transfieren datos confidenciales mediante unidades externas.

Las soluciones modernas de cifrado por hardware, como la línea de productos Kingston IronKey, ofrecen características de seguridad muy sólidas. La memoria USB Kingston IronKey Vault Privacy 50, con la certificación FIPS 197 (pendiente), ofrece protección contra BadUSB mediante firmware de firma digital e incluye medidas de prevención contra ataques de fuerza bruta.

Si las necesidades de almacenamiento son mayores, el SSD externo Kingston IronKey Vault Privacy 80 ofrece un cifrado XTS-AES de 256bits con certificación FIPS 197 y capacidades de hasta 7,68TB. Su diseño independiente del sistema operativo y su interfaz de pantalla táctil hacen que sea la opción perfecta para almacenar y transferir datos de forma segura en entornos sanitarios. Es especialmente útil para centros pequeños y medianos, ya que puede proporcionar una copia de seguridad protegida contra ransomware y permitir una recuperación más rápida ante cualquier interrupción.

Pasos para proteger los datos de los pacientes

Aunque la reducción del coste de las filtraciones de datos en la atención sanitaria podría apuntar al progreso, el sector debe permanecer alerta en cuanto a aplicar medidas integrales de ciberseguridad. La protección de la información sensible de los pacientes exige adoptar un enfoque multifacético que combine lo siguiente:

• Un cifrado por hardware eficaz para el almacenamiento y la transferencia de datos
• Formación periódica del personal en cuanto a prácticas de seguridad e implementación de condiciones óptimas para la ciberseguridad
• Estrategias integrales de seguridad planificadas en lugar de soluciones improvisadas
• Cumplimiento inmediato de los reglamentos en constante evolución
• Inversión en conocimientos especializados sobre ciberseguridad para hacer frente a la falta de competencias en el sector

Si toman estas medidas, las instituciones sanitarias pueden proteger mejor los datos de sus pacientes y mantener la confianza, lo cual es fundamental para ofrecer una atención eficaz. Proteja sus datos sanitarios con el cifrado adecuado. Obtenga asesoramiento profesional del equipo Pregunte a un experto de Kingston.