MÁLAGA 3 Abr. (CIBERPRO) –
En el marco del IV Congreso de Ciberseguridad de Andalucía, tres directores de seguridad de la información (CISO) han compartido este jueves experiencias reales sobre ciberataques en el sector salud, resaltando la urgente necesidad de establecer una «cultura de la ciberseguridad» en los hospitales. Esta cultura debería incluir la concienciación de todo el personal, asignaciones presupuestarias adecuadas y la formación de profesionales competentes.
Manuel Jimber, responsable de Seguridad de la Información en el Servicio Andaluz de Salud, moderó una mesa de debate donde se abordó uno de los ataques cibernéticos más significativos a un hospital, el Clínic de Barcelona, ocurrido en primavera de 2023, que llevó al centro a un estado casi de parálisis. Alejandro Nieto, actual CISO del hospital, explicó que este caso sirve para reflexionar sobre la situación de la ciberseguridad en el sector sanitario, que «puede mejorar», según sus palabras.
En ese momento, el Hospital Clínic contaba con cerca de 800 camas, 9.000 empleados y más de 15.000 dispositivos activos. Un grupo de ciberdelincuentes llamado RamsonHouse accedió a su red mediante las credenciales de un médico del hospital, robando 4,5 terabytes de información. Nieto advirtió que «nunca sabremos con certeza todo lo que se llevaron». Los atacantes exigieron un rescate de 4,5 millones de euros y, tras negociaciones infructuosas con las fuerzas de seguridad, publicaron todos los datos robados.
Según detalló, este ciberataque afectó al hospital en tres áreas: la tecnológica, que dejó 800 servidores encriptados sin comprometer los datos de los pacientes; la asistencial, que suspendió ciertas actividades quirúrgicas y consultas externas, redirigiendo pacientes a otros centros y volviendo a métodos que no requerían tecnología; y la legal, que implicó un largo proceso de notificaciones a la Agencia de Protección de Datos y denuncias, dado que se trató de un acto delictivo.
A raíz de su experiencia, el CISO del Clínic afirmó que tras un ataque de este tipo, lo primero que se debe hacer a nivel tecnológico es realizar un «análisis forense» para identificar el origen, el funcionamiento del ataque y las debilidades que se pueden mitigar rápidamente. En este caso, la falta de un doble factor de autenticación fue crucial, el cual se implementó inmediatamente, lo que generó una gran concienciación. Además, celebró que el Clínic se integrara en el modelo de la agencia de seguridad, logrando en un año que todos los hospitales de Cataluña estuvieran incluidos.
En términos asistenciales, destacó que el hospital recibió un fuerte apoyo del sistema sanitario, estableciendo una red de colaboración para derivar pacientes. El comité de crisis resultó fundamental para gestionar y liderar la situación «con calma, involucrando a todos y asegurando la salud de los pacientes». Asimismo, subrayó la importancia de la comunicación, la transparencia y la coordinación.
Tras este incidente, Nieto afirmó que se han abordado muchos aspectos que antes estaban desatendidos. «A veces, es necesario que ocurran estas situaciones para que avancemos», comentó, añadiendo que actualmente el centro está más consciente, se están formando órganos de gobierno en ciberseguridad, promoviendo la capacitación y aplicando nuevas medidas; en definitiva, «la seguridad ha mejorado».
A su juicio, las claves residen en la cultura, la formación y la concienciación, especialmente en los niveles directivos, para que la ciberseguridad sea considerada como una dimensión más en la organización, «al igual que la sostenibilidad». «Es crucial que comprendan la importancia de la ciberseguridad y que poco a poco se incorporen esta conciencia, estos presupuestos y esta capacitación. De lo contrario, seguiremos asumiendo riesgos que podríamos prevenir», concluyó.
En este mismo sentido, Tomás Gómez, CISO del Gobierno de La Rioja, recordó que un mes y medio después del ataque al Clínic, también sufrieron un ciberataque mediante credenciales de un usuario que los atacantes habían adquirido «en la dark web por cinco dólares», descubriendo que había mucha más información sobre su organización de la que esperaban. «Contamos con el servicio de salud público más pequeño de España y pensábamos que nadie se molestaría en recopilar información sobre nosotros, pero allí estaba», comentó.
De este ataque, Gómez resaltó que la lección aprendida es «no actuar de manera imprudente y evaluar adecuadamente los riesgos que se asumen». En su caso, también implementaron «de inmediato» la autenticación reforzada, promovieron la concienciación y capacitación en toda la plantilla, desde los empleados más básicos hasta la alta dirección, y aseguraron contar con las herramientas necesarias para realizar «una vigilancia constante de todo lo que ocurre en la organización».
Josep Vardalló, CISO de Recoleta Salud, un grupo hospitalario privado, también centró su atención en la vigilancia, especialmente sobre los proveedores, ya que «también son una puerta de entrada para ciberataques». Aseguró que «el 80% de los ataques provienen de proveedores», y en un hospital privado, las conexiones con estos son numerosas, desde centros públicos hasta laboratorios y aseguradoras. «En todos estos entornos, cualquier problema de seguridad que tengan, automáticamente nos afecta», concluyó.
