En esta edición quiero atender específicamente un tema que se suma a lista de retos que enfrentan los hospitales y entidades afiliadas, que debemos abordar principalmente las áreas de tecnología legal y financiera. Me refiero a los asuntos relacionados a la ciberseguridad y a los ciberataques, los cuales han sido preocupación persistente y creciente con el avance del registro médico electrónico, los datos digitales, dispositivos médicos y electrónicos personales, las tecnologías en la nube y ahora, la inteligencia artificial (IA).
A medida que la tecnología evoluciona, también lo hacen las actividades y sofisticación de los ciberdelincuentes. Es por eso por lo que recomiendo que las divisiones legales y bufetes externos de los hospitales deben capacitarse adecuadamente sobre los riesgos inherentes a los ataques a la seguridad y dicha capacitación no se puede limitar a un curso anual sobre temas de HIPAA o seguridad técnica.
Hoy sabemos que los ciberataques en la industria de la salud son los más costosos. Un costo que se estima fluctúa entre $5 millones hasta los $9.42 millones por incidente. Los ataques de ‘ransomware’, por otro lado, cuestan entre $4.62 millones por incidente en datos obtenidos al 2020, y con una tendencia al alza que, si lo miramos por expediente, puede fluctuar entre los $400 a $600 por registro de paciente expuesto, lo que eleva la importancia de establecer prácticas sólidas de gestión de manejo de riesgos. A esos números hay que añadirle potenciales costos relacionados a la defensa legal en litigios posteriores que pueden esperarse luego de un incidente de esta naturaleza.
No hay duda de que el costo para un hospital o afiliada, sumado a los otros retos que afectan esta industria, pueden atentar contra la estabilidad financiera de la institución. Es por ello crucial que en las iniciativas de manejo de riesgo se evalúe el costo inherente de un ataque cibernético para poder atender adecuadamente las inversiones económicas necesarias para mitigarlo.
La práctica del ‘phishing’ es una de las tácticas más extendidas que se utilizan para engañar a las personas y hacer que revelen información confidencial con el fin de obtener acceso a los sistemas. El ‘phishing’ es un tipo de ingeniería social que intenta “obtener nombres de usuario, contraseñas o datos médicos, por razones maliciosas, utilizando comunicaciones como el correo electrónico o la mensajería, alentando a los destinatarios a hacer ‘clic’ en enlaces a sitios web que ejecutan códigos maliciosos o a descargar o instalar ‘malware’”.
Una encuesta realizada en 2021 por la Sociedad de Sistemas de Información y Gestión de la Salud (HIMSS, por sus siglas en inglés) a profesionales de la ciberseguridad de la industria de la salud reveló que los incidentes de seguridad más importantes durante un periodo de 12 meses fueron el ‘phishing’. En el 2022, la encuesta HIMSS encontró que, si bien el ‘phishing’ es generalizado, el entendimiento o ‘awareness’ por parte de la fuerza laboral no lo es.
Para abordar de manera proactiva las amenazas de los ataques de ‘phishing’, las organizaciones de atención médica de todos los tipos y tamaños deben implementar las siguientes estrategias para crear conciencia, educar a su fuerza laboral y proteger sus sistemas. Algunos ejemplos que quiero destacar de estrategias para combatir el ‘phishing’ son los siguientes:
- Trabaje para crear y mantener una cultura de seguridad sólida en su organización que se centre en un enfoque de seguridad y privacidad en toda la empresa.
- Desarrollar e implementar un programa integral de capacitación para proveedores, personal, voluntarios entre otros, que incluya educación y capacitación relacionada con varios tipos de ataques de ‘phishing’, por ejemplo, ‘spear phishing’ (ataques de ‘phishing’ dirigidos), ‘smishing’ (ataques de ‘phishing’ por mensaje de texto) y ‘vishing’ (ataques de ‘phishing’ por correo de voz o teléfono).
Reitero que los miembros del personal del hospital y sus afiliadas son un recurso de primera línea en la prevención de ciberataques, pero también pueden representar una vulnerabilidad significativa por lo que no es una opción no destinar recursos suficientes para que el personal obtenga la capacitación necesaria para entender y evitar actuaciones que vulneren los sistemas de la institución lo cual hemos demostrado que le ocasionará graves daños económicos.
En el 2022, el Informe de Investigación de Violación de Datos, de Verizon, señalo que “la atención médica es la industria en la que el actor interno (entiéndase empleado o contratista) ha ocupado un lugar destacado en las violaciones”.
La mayoría de las amenazas internas no son intencionales, y “muchos médicos, proveedores y empleados se involucran sin saberlo en comportamientos riesgosos en las computadoras de su hogar y trabajo”. También una encuesta de más de 600 profesionales de la salud realizada por Merlin International y el Instituto Ponemon reveló que aproximadamente la mitad de los participantes sintieron que “la falta de conciencia y capacitación de los empleados afecta su capacidad para lograr una postura de seguridad sólida”; casi tres cuartas partes de los participantes “citaron la falta de personal como el mayor obstáculo para mantener una postura de seguridad completamente efectiva”.
Por ende, el conocimiento por parte del personal ejecutivo y legal de las mejores prácticas relacionadas con la ciberseguridad y la protección de datos, así como una comprensión profunda de los protocolos de seguridad de la organización, son la base de un programa de formación sólido y crucial para el plan de ciberseguridad de cada organización. Algunas recomendaciones en esa dirección son:
1. Utilice correos electrónicos, mensajes de texto y mensajes de voz simulados de ‘phishing’ como parte de la capacitación para ayudar al personal a aprender a identificar mensajes sospechosos. Asegúrese de que los ejercicios de simulación formen parte de un programa de formación que se centre en mejorar el conocimiento y el aprendizaje en lugar de avergonzar o castigar a los empleados.
2. Capacite a su personal en las mejores prácticas de seguridad relacionadas con la prevención de ataques de ‘phishing’, que incluyen:
- Estar atento a los signos comunes de los ataques de ‘phishing’, como mensajes con errores tipográficos y otros errores gramaticales, mensajes con saludos o tonos inusuales, números de teléfono o direcciones de correo electrónico extraños, mensajes enviados desde dominios de correo electrónico públicos o nombres de dominio mal escritos, mensajes con archivos adjuntos sospechosos y enlaces con direcciones de destino sospechosas.
- No responder a correos electrónicos, mensajes de texto, mensajes de voz o llamadas telefónicas sospechosas. La guía del proveedor de antivirus Kaspersky señala que “incluso las indicaciones para responder, como enviar un mensaje de texto con la palabra ‘STOP’ para cancelar la suscripción, pueden ser un truco para identificar números de teléfono activos”.
- Nunca proporcione contraseñas o códigos de recuperación de cuenta por correo electrónico, mensajes de texto o teléfono.
- Verificar la autenticidad de los mensajes, especialmente si piden al receptor que realice acciones que se desvíen de los procesos estándar.
- Desconfiar de los correos electrónicos, mensajes de texto o mensajes urgentes que solicitan una acción inmediata o establecen plazos de respuesta cortos u oportunidades de tiempo limitado.
- Ir directamente a la fuente (por ejemplo, una persona dentro de la organización o el sitio web de una organización externa) para confirmar solicitudes o verificar información. Si una persona tiene alguna pregunta sobre la veracidad de un mensaje, no debe hacer ‘clic’ en enlaces ni proporcionar información protegida.
- Informar de todos los ataques de ‘phishing’ conocidos y sospechosos al departamento de Tecnología de la Información (IT) de la organización de la salud.
- Ejecute campañas educativas dentro de su organización para crear conciencia sobre el ‘phishing’ y sus posibles consecuencias. Utilice una variedad de métodos para involucrar a su fuerza laboral, como recordatorios por correo electrónico, publicaciones en la intranet, vídeos y otros gráficos, concursos y más.
- Implemente medidas de seguridad con técnicas para ayudar a bloquear los ataques de ‘phishing’ o evitar que tengan éxito (por ejemplo, software antivirus actualizado, filtros de spam, filtros web, firewalls, autenticación multifactor, requisitos de contraseñas seguras, cifrado de datos, bloqueos del sistema, etc.), que las actualizaciones de software recomendados se instalen inmediatamente.
Manténgase al tanto de la evolución de las estrategias de ciberseguridad. A medida que los ciberataques se vuelven más sofisticados, particularmente con el avance de la IA, también lo harán las tácticas para prevenirlos.6 Concienciar sobre el ‘phishing’ e implementar medidas de seguridad de forma proactiva puede contribuir en gran medida a proteger a las organizaciones sanitarias de los ciberataques. Sin embargo, a pesar de los mejores intentos, los ataques de ‘phishing’ seguirán ocurriendo y podrían tener éxito. Por eso la industria hospitalaria y sus afiliadas deben prepararse para esta realidad y desarrollar planes para responder rápidamente a los ataques, limitar la divulgación de información protegida y denunciar los incidentes a las autoridades competentes.
