Quizá sea por el nombre, algo feo; o porque no se trata de una cuestión tangible. Lo que parece claro es que, todavía, en muchos ámbitos de la sociedad la ciberseguridad no se toma con la debida cautela. Un ejemplo son los hospitales y centros sanitarios, que se han convertido en algo muy goloso para toda clase de delincuentes tecnológicos. Más, cuando algunos de ellos todavía usan Windows 95.

Para dar visibilidad a esta situación, desde Panda han desarrollado un estudio que lleva por nombre Ciber-Pandemia, y que pretende mostrar el estado de salud o, mejor dicho, todo lo que podía mejorar, en cuanto a la seguridad informática y tecnológica del sistema sanitario español.

Y es que la información que maneja la industria sanitaria es altamente sensible, y muy suculenta para el “mercado negro” ya que es mucho más valiosa y se paga a un precio más alto. Los crímenes o delitos que pueden cometerse con estos datos van desde el fraude hasta la extorsión y todavía no se toman las medidas necesarias para proteger este tipo de datos. Así lo confirma IBM, posicionando al sector sanitario como el más afectado por ataques informáticos en 2015.

Los avances tecnológicos facilitan el almacenamiento en formato digital de estos datos, algo muy beneficioso para el paciente; aunque se convierten en uno de los blancos favoritos de los cibercriminales. En un análisis desarrollado por PandaLabs, se muestra cómo se ha pasado de casos puntuales a ataques a gran escala, como el protagonizado por Anthem, la segunda gran aseguradora médica de EEUU que sufrió el saqueo de 80 millones de registros, con datos tan sensibles como el número de la Seguridad Social de sus clientes.

Al robo de esta información que, según Ponemon Institute se ha incrementado en un 125% en los últimos cinco años, se le suman los ataques de ransomware demostrando ser capaces de paralizar la actividad de un hospital, de robar miles de registros y de utilizar la información sensible como rehén de cobro.

Una tecnología de otro siglo

Durante la presentación del estudio, el director técnico de PandaLabs, Luis Corrons, ha comentado algunas situaciones sobre el estado arcaico, a nivel tecnológico y de seguridad, en algunos centros sanitarios.

Confiesa haber analizado máquinas para la toma de constantes vitales de los pacientes que estaban soportadas, posiblemente, por Windows 95. O, en el mejor de los casos, por Windows 2003. Y no ha sido lo único. Corrons, sin dar nombres concretos, ha hablado de un centro sanitario que tenía infectado parte de su sistema informático con un virus, pero que al no ser muy dañino ni robarles datos, han decidido que prefieren no tocar nada y que siga en sus equipos.

El asunto, al margen de bromas, es delicado si tenemos en cuenta que prácticamente todos los equipos médicos (dispensadores marcapasos, escáneres, rayos X, bombas de perfusión, ordenadores del equipo sanitario, etc.) están conectados en red, podemos pensar que si un ciberdelincuente accede a la red corporativa del centro médico puede tener en sus manos la salud de los pacientes.

Una importancia invisible

En el estudio se citan algunos ejemplos que, pareciendo de película, son reales. Por ejemplo, el exvicepresidente de EEUU, Dick Cheney, en 2013 reveló que sus doctores habían deshabilitado la comunicación inalámbrica de su marcapasos porque resultaba creíble la amenaza de que alguien tratara de realizar un ataque remoto para atentar contra su vida.

De hecho, un año antes, Barnaby Jack el famoso hacker neozelandés, demostró a los asistentes a su conferencia cómo podía manipular remotamente un marcapasos para que emitiese un shock eléctrico potencialmente mortal. Barnaby diseño un ataque que podía afectar a todos los marcapasos en un radio de 15 metros.

El propio Barnaby, había demostrado anteriormente cómo podía alterar de forma remota una bomba de insulina portátil, utilizada por diabéticos, de tal forma que podía dar la orden de inyectar una dosis letal de insulina a todos los aparatos en 90 metros a la redonda.