“Los hospitales tienen una base de datos con historial de los pacientes, sus enfermedades y medicamentos, entre otros. Sin esos datos ellos no pueden agendar consultas, realizar procedimientos médicos o atender urgencias”.
Los hospitales se convirtieron en el nuevo blanco de los hackers. Ellos han conseguido varias víctimas en los Estados Unidos en el último mes, como el Centro Médico Presbiteriano de Holywood, y el Hospital metodista de Kentucky. El grupo de Inteligencia de Seguridad de Información de Cisco, Talos, identificó una variante de ramsomware, un tipo de virus que secuestra datos – especialmente enfocado en el área de la salud.
Lo que indica esa variante llamada “Samsam” se infiltra en los servidores a través de redes y cifra toda la base de datos de los hospitales, incluyendo la historia clínica de los pacientes, la lista de visitantes, etcétera. Para descifrar los datos es necesaria una clave, liberada por los hackers mediante un pago que gira en torno a los miles de dólares.
Pero ¿por qué atacar justamente hospitales?
El ramsomware es el modelo más utilizado por los criminales – con éxito, ya que muchas empresas no tienen otra salida de no ser el pagar para tener de vuelta sus datos. De acuerdo con el Reporte Anual de Seguridad de Cisco, esta forma de ataque tiene un valor promedio de US 34 millones por año, volviéndose un negocio lugrativo. Lo que los hackers ahora perciben es que ellos pueden lucrar aún más cuando se enfocan en el sector de la salud.
“Los hospitales tienen una base de datos valiosa, con historial de los pacientes, el histórico de sus enfermedades y medicamentos, entre otros. Sin esos datos ellos no pueden agendar consultas, realizar procedimientos médicos o atender urgencias”, señaló Fernando Zamai, Ingeniero de Seguridad de Cisco. Es decir, sin su base de datos los hospitales prácticamente paran. Y los hackers perciben que ellos están más dispuestos a pagar el rescate por sus datos y a pagar una buena suma.
Además, esos ataques afectan las redes de los hospitales que las cuales dependen para comunicarse. Los hospitales también guardan información de personas de sus clientes y pueden ser penalizados por las organizaciones correspondientes en caso de que los datos se lleguen a dar a conocer. Finalmente, el propio sector de la salud no acostumbra invertir en seguridad para su infraestructura de IT como lo hace el sector financiero, por ejemplo, lo cual lo convierte en un blanco fácil para los criminales.
¿Cómo se infiltra el virus en la infraestructura?
De acuerdo con Fernando Zamai, existen varias formas de ataque, pero la más peculiar en la actualidad es robar contraseñas y accesos administrativos de terceros para de ahí infiltrarse en las redes. Además “el propio ambiente de hospital es algo un tanto público: cualquier persona, que sea identificada, puede tranquilamente tener acceso directo a una puerta abierta, un switch o un ruteador desprotegido, conectando una laptop y ejecutando un archivo con el virus” afirmó el especialista.
Esa variante de ransomware no tiene un vector de ataque enfocado en un usuario como lo es el fishing, es decir un corre electrónico con archivo sospechoso que busaca pescar un destinatario. El “samsam” puede entrar directo por las redes y conectarse a un servidor externo DNS (Domain Name System) escondido en internet, moviendose de manera lateral a la infraestructura. Cuando el equipo de TI lo percibe, la amenaza ja infectó diversas máquinas y cifró datos.
¿Cuál es el daño para los hospitales?
El el caso del Centro Médico Presbiterano de Hollywood , los directores eligieron el medio más rápido de resolver el problema pagando US17 mil para recuperar los datos. En el caso del Hospital Metodista de Kentucky, éste se negó a pagar y utilizó las copias de respaldo que le tomó cinco días para regresar parcialmente a la operación. El pago fue hecho en “Botcoins” una moneda digital que se vuelve imposible de saber quiénes son los verdaderos autores del ataque.
¿Cuál es la vacuna para ese ataque?
Fernando Zamai, ingeniero de seguridad de Cisco de Brasil afirma que como las amenazas actualmente son amplias y dinámicas, la seguridad de TI también debe ser amplia y dinámica. “una nueva variante de ransomware puede entrar por varias brechas y adquirir diferentes formas, lo que requiere de sistemas de seguridad en toda la infraestructura” explicó el especialista. Es decir, ya no basta con tener un firewall o un antivirus para proteger las redes, es mejor saber lo que pasa por ellas y monitorear el tráfico de datos.
Una de las soluciones es adoptar un servicio de revisión de solicitudes, como OpenDNS, que identifica el ransomware en el momento en el que intenta comunicarse al servidor externo DNS y bloquea su actividad. Otra solución es adoptar equipos capaces de reconocer automáticamente a los usuarios y sus dispositivos, permitiendo el acceso de acuerdo con los perfiles y las políticas previamente establecidas.
Una decisión simple y que increíblemente pocos hospitales toman es la de realizar respaldo de todos los datos de manera frecuente. Tener un respaldo integral y constanto del banco de datos puede evitar que los hospitales, que dependen de las informaciones, tengan que pagar el rescate en caso de un ataque de ransomware. Por eso Zamai recuerda que eso puede no ser suficiente: “las nuevas amenazas pueden dañar incluso las copias guardadas en diversos lugares”.