La sanidad sigue experimentando los costos de filtración de datos más elevados de todos los sectores, pasando de 10,10 millones de dólares en 2022 a 10,93 millones de dólares en 2023.
Desde la pandemia el sector salud en América Latina ha tenido que superar años de retraso tecnológico y escepticismo en experiencias digitales, pero al mismo tiempo se ha sometido a una variedad de ciberataques cada vez mayores, desde ransomware hasta ataques DDoS. Cada día se enfrenta a un número creciente de filtraciones de datos que deberá contrarrestar; en 2023 el número de filtraciones de datos de atención media se duplicó en comparación con 2022, y se prevé un importante aumento para 2024.
Patricio Villacura, Especialista de Seguridad Empresarial para Akamai, opinó que las instituciones médicas son una auténtica mina de oro de datos, muchos de los cuales se gestionan a través de sistemas informáticos obsoletos fáciles de explotar. Pero también radica en la forma en que se gestionan los datos y los dispositivos dentro de cada institución de salud. “Un ataque de phishing, una infección de malware (como ransomware) u otros tipos de incidentes de seguridad, pueden conducir a la filtración de información sensible, propietaria o confidencial”, advirtió.
De acuerdo con el reporte Cost of a Data Breach de IBM Security, en América Latina, el costo de una filtración de datos en Latinoamérica alcanzó los 2,46 millones de dólares en 2023, un máximo histórico en el reporte y un aumento del 76% desde 2020. Mientras que los ataques de infiltrados malintencionados fueron los más costosos por 2,59 millones de dólares, seguido de ataques con credenciales robadas y comprometidas por 2,56 millones de dólares y, en tercer lugar, por la pérdida accidental o robo de datos o dispositivos, por aproximadamente 2,53 millones de dólares.
La sanidad sigue experimentando los costos de filtración de datos más elevados de todos los sectores, pasando de 10,10 millones de dólares en 2022 a 10,93 millones de dólares en 2023, lo que supone un aumento del 8,2%. En los últimos tres años, el costo medio de una filtración de datos en este sector ha crecido un 53,3%, aumentando más de 3 millones de dólares en comparación con el costo medio de 7,13 millones de dólares en 2020.
Por su parte, el estudio 2023 HIMSS Healthcare Cybersecurity Survey, la mayoría de los encuestados (54,59%) indicó que su organización había experimentado un incidente de seguridad significativo en los últimos 12 meses; casi la mitad de ellos (49,35%) destacó que tardaron una semana o menos en detectar el incidente. A decir de Patricio Villacura, la industria de la salud es un objetivo clave para los ciberataques debido al alto valor de los registros médicos en el mercado negro. Dichos registros pueden llegar a venderse por hasta 1,000 dólares en la deep web, en comparación con 5 dólares por información de tarjetas de crédito y 1 dólar por un número de Seguro Social. Esto enfatiza la necesidad crítica de intensificar las medidas de ciberseguridad en la industria de la salud.
Otra problemática que detecta el experto de Akamai es que muchas organizaciones de salud tienen dificultades para contratar profesionales cualificados en ciberseguridad sanitaria. Según dicha investigación algunos candidatos (37,99%) carecían de experiencia relacionada con la atención sanitaria. “Esto es importante porque la ciberseguridad sanitaria está directamente relacionada con la seguridad del paciente. Además, las instituciones de este sector suelen ser entornos muy complejos y dinámicos que justifican no sólo prácticas de ciberseguridad sólidas, sino también el reconocimiento de que el acceso oportuno a la información de los pacientes es vital”, precisó.
Microsegmentación, la cura contra la filtración de datos
Proteger los datos de los pacientes no se trata sólo de prevenir infracciones. Así como los datos de los pacientes deben protegerse, también deben ser más fáciles de compartir. A medida que la tecnología permite este intercambio, la atención médica puede dejar de ser episódica y volverse longitudinal y colaborativa, brindando una visión más completa de la información de salud de sus pacientes.
Si no se contrarrestan las filtraciones de datos en el sector salud, las consecuencias pueden ser devastadoras. Esto podría causar un tiempo de inactividad en la organización, tener una repercusión financiera y afectar a la resiliencia a largo plazo de las instituciones sanitarias. En ese sentido, un enfoque que está ganando popularidad es la microsegmentación. Esto implica dividir una red en secciones más pequeñas y aisladas, lo que limita el alcance de una posible infracción o ataque DDoS y protege la red en general. Al implementar esta estrategia, las instituciones de salud pueden defender mejor los datos de sus pacientes y salvaguardar sus sistemas de las ciberamenazas.
Patricio Villacura destacó que la microsegmentación es de gran ayuda, ya que limita el acceso a partes específicas de la red. Incluso si los ciberdelincuentes consiguen acceder a un único segmento, no podrán desplazarse lateralmente ni acceder a otras partes de la red. Cuando el acceso está contenido, se pueden mitigar los daños.
El experto ejemplificó: “si un segmento de la red sufre un ataque y se desconecta, los dispositivos que contiene deben seguir funcionando. Piense en un sistema de monitorización neonatal que se comunique con un sistema centralizado de recopilación de datos: si la red falla, ¿puede seguir funcionando el monitor? La microsegmentación hace posible que se diseñe el sistema de tal manera que, si la red principal falla, el sistema pueda seguir funcionando y los bebés puedan seguir siendo monitorizados”.
Finalmente, Patricio Villacura mencionó que la protección de la privacidad del paciente y la seguridad de los datos es vital para lograr que el tiempo de actividad sea continuo y tener la capacidad de ofrecer una atención al paciente excelente. “Teniendo en cuenta que las filtraciones de datos son una amenaza importante para las organizaciones proveedoras de atención sanitaria, los hospitales y quienes interactúen con ellos en todo el ecosistema del sector, es necesario tomar medidas proactivas para proteger los datos de los pacientes”, concluyó.
