El impacto del COVID-19 en la ciberserguridad del sector sanitario

El COVID-19 ha sido una fuerza disruptora como no se había visto antes en el mundo empresarial. Organizaciones de todo el mundo han tenido que adaptarse rápidamente al trabajo a distancia, dotando de seguridad a entornos nuevos sin probarlos antes de su despliegue y con una mínima interrupción del servicio.

La pandemia no ha sido fácil para ninguna industria. Pero ha demostrado ser un reto tanto científico como empresarial para el sector sanitario. Hospitales, sistemas de salud, aseguradoras y compañías farmacéuticas no solo están construyendo e implementando rápidamente nuevas formas de trabajo, sino que lo hacen en un momento de demanda sin precedentes de sus servicios.

Por desgracia, el sector no es el único que se está adaptando. Los ciberdelincuentes también lo están haciendo, ajustando sus ataques de phishing y de ingeniería social a la pandemia. Sin ir más lejos, en mayo de este año se detectaron más de 300 campañas relacionadas con el COVID-19.

Este elevado nivel de amenazas ha llevado a la Cybersecurity and Infrastructure Security Agency (CISA), al FBI y al Department of Health and Human Services (HHS) de Estados Unidos a advertir a la industria que esté atenta a ataques de ransomware, robo de datos e interrupción de servicio, en lo que califica como una “creciente e inminente amenaza cibercriminal”.

Ahora más que nunca, una industria que cuenta con una gran cantidad de datos personales, propiedad intelectual e información sensible debe hacer más para proteger estos valiosos activos. Y esto comienza por entender a la perfección las amenazas a las que se enfrenta.

Cómo mantuvieron el ritmo del COVID los cibercriminales

A medida que se propagaba la pandemia de coronavirus por todo el mundo, lo hacían también las campañas de ciberataques que buscan sacar partido del pánico y la incertidumbre que deja a su paso.

El verano pasado, casi 20 países vieron cómo se utilizaba el COVID-19 como gancho en campañas de phishing, diseñadas para sorprender a las víctimas fuera del entorno de trabajo más formal y seguro. Entre los ataques más comunes se encuentran los que ofrecen actualizaciones sobre tratamientos y vacunas, y otros que informan sobre contactos cercanos que han dado positivo.

Mientras se han ido adoptando nuevas restricciones y medidas de apoyo, los ciberdelincuentes han conseguido adaptar sus mensajes rápidamente. Sus campañas se ajustan cada vez más a las políticas locales y gubernamentales, y se centran a menudo en consejos sobre el trabajo en remoto, en cuestiones relacionadas con el empleo o con la obtención de ayudas.

El aumento de los intentos de ciberataque ya es motivo de preocupación por sí mismo. Sin embargo, desafortunadamente, también hay una mayor posibilidad de que estos intentos tengan éxito.

Se sabe que el trabajo a distancia aumenta significativamente el riesgo de que los ciberataques tengan éxito. Si le sumamos una base de usuarios buscando información desesperadamente en un momento inusual, tenemos el sueño de cualquier ciberdelincuente. En una industria en la que los usuarios están especialmente interesados en seguir el desarrollo de la crisis sanitaria, y muchos de ellos alentados a hacerlo activamente, el nivel de riesgo sólo puede aumentar.

Para los equipos de ciberseguridad encargados de proteger a los usuarios en unas circunstancias previamente inimaginables, el reto nunca ha sido mayor. La única estrategia exitosa de defensa implica que esta tiene que ser amplia y profunda. Y esto comienza por las personas.

Preparar la última línea de defensa

Como la mayoría de las amenazas modernas, el phishing, el ransomware y los ataques BEC a los que se enfrenta actualmente el sector salud se centran principalmente en las personas y no en la infraestructura.

Aunque el control y protección de la red son esenciales, no son infalibles. Todas las organizaciones deben asumir que los ataques llegarán a los usuarios. Esto sitúa a las personas en la última línea de defensa. Y hay que equiparlas como tales.

Esto sólo es posible mediante una concienciación amplia y continua sobre seguridad. Empezando por los fundamentos, hay que formar a todos los usuarios para que se remitan solo a fuentes de información oficiales. Y mejor aún, enseñarles que deben navegar por esos sitios web escribiendo cuidadosamente la dirección en su navegador.

Luego hay que asegurarse de que los usuarios saben detectar indicios de mensajes maliciosos, como solicitudes apremiantes para que faciliten sus datos de acceso o información personal. Los errores ortográficos y gramaticales también son un indicio común en este tipo de correos.

Los programas de sensibilización de los usuarios deben realizarse, ahora más que nunca, en contexto, basándose en campañas actuales del mundo real. El reciente informe Healthcare Threat Landscape Report, de Proofpoint, identificó tres ejemplos comunes de campañas que utilizan el COVID-19 como gancho, detallando los organismos oficiales y de la industria más suplantados, los mensajes más comunes y los autores de amenazas que hay detrás de cada ataque.

Y aunque puede que las amenazas sobre el COVID-19 no permanezcan para siempre, los ataques dirigidos sí que seguirán. Sea cual sea el señuelo que utilicen en el futuro, es vital que los profesionales tengan ese nivel de conocimiento sobre los atacantes y sus métodos.

Proteger a las personas

Aunque es probable que sus consecuencias se prolonguen durante los próximos años, la actual pandemia de coronavirus acabará por pasar. Desafortunadamente, es poco probable que el interés de los cibercriminales en la industria de la salud pase una vez termine la pandemia.

El valor de los datos, muchos de ellos muy personales, junto con la necesidad imperiosa de que el servicio no se vea interrumpido, y los tradicionalmente pobres controles de seguridad mantendrán al sector sanitario en la mira de los ciberdelincuentes durante mucho tiempo.

Para sustraerse con éxito este interés, las organizaciones sanitarias deben implementar una defensa robusta y flexible, construida para las necesidades de hoy pero lista para las de mañana. Basada en la concienciación sobre ciberseguridad en toda la empresa, también debería incluir los últimos controles de seguridad, así como adoptar las mejores prácticas y sistemas de protección.

Cualquier defensa por capas y eficaz debe incluir una solución Zero Trust capaz de conectar de forma segura a las personas con sus datos y sus redes, un sistema robusto de seguridad de correo electrónico con autenticación DMARC, tecnología de aislamiento para evaluar y eliminar los enlaces y contenidos de riesgo, y visibilidad total de los registros para detectar amenazas internas y otras actividades sospechosas.

Una vacuna puede significar el fin del COVID-19, pero en el mundo de la ciberseguridad no existen las balas de plata. El panorama de las amenazas seguirá evolucionando a su ritmo. Y las estrategias de ciberseguridad deben evolucionar con él.

La entrada El impacto del COVID-19 en la ciberserguridad del sector sanitario aparece primero en Globb Security.