La medicina ‘inteligente’, como el coche o la casa que también incorporan ese calificativo tan presuntuoso, genera beneficios innegables para la vida cotidiana de las personas. Pero sus indicutibles ventajas no pueden ocultar los riesgos, las amenazas para la seguridad.

«El auge tecnológico en la medicina no sólo ha provocado la transición de instituciones de la salud a sistemas de procesamiento de información, sino que también ha conducido a la creación de nuevos tipos de equipos médicos y dispositivos personales que pueden interactuar con los sistemas y redes clásicas. Esto significa que las amenazas que son relevantes para estas últimas también pueden alcanzar a los sistemas de salud», advierte un informe de Kaspersky Lab.

Los datos personales del paciente y la información sobre su salud son el principal vector de los ataques en el contexto de la industria médica. Para evaluar la seguridad del sistema, primero hay que identificar los puntos de la infraestructura de las instituciones médicas que pueden acumular datos médicos o que pueden ser utilizados por un ciberatacante.

Se trata de sistemas informáticos (servidores, estaciones de trabajo, paneles de administración de equipos médicos, entre otros) que pueden estar;  conectados a Internet; equipos médicos conectados a la red corporativa; equipos médicos que no son nodos de red pero que están conectados a una estación de trabajo (por ejemplo, mediante USB); dispositivos móviles del paciente (pulseras deportivas avanzadas, marcapasos y monitores, bombas de insulina, etc.), así como dispositivos móviles con funciones de seguimiento de los indicadores de salud (teléfonos móviles, relojes “inteligentes”); y otros sistemas de información, accesibles a través de una conexión inalámbrica: electroencefalógrafos móviles, oxímetros, sensores de acontecimientos para supervisar pacientes de riesgo elevado, entre otros.

Además, las instituciones médicas utilizan sistemas automatizados de almacenamiento de datos médicos para almacenar información heterogénea sobre el paciente (resultados de los diagnósticos, datos sobre los fármacos, anamnesis, entre otros). La infraestructura de ese sistema puede incluir diversos componentes de hardware y software que se puedencombinar en una red de almacenamiento de información y que de una u otra forma está accesible desde Internet.

Una característica distintiva de estos sistemas es que para administrarlos se usa una aplicación web, que puede contener vulnerabilidades que un ciberedelincuente puede utilizar para obtener acceso a información y a los procesos.

Por si no fueran suficientes estos riesgos, en un centro sanitario hay muchos otros sistemas que no están directamente relacionados con los sistemas de salud, pero que se encuentran en la misma infraestructura que los datos médicos, como cualquier tipo de servidor (web, correo electrónico, entre otros) instalados en la red y accesibles desde Internet; los hotspots de WiFi públicos de las instituciones médicas; las impresoras; los sistemas de vigilancia por vídeo;los sistemas automatizados de administración de componentes mecánicos y eléctricos del sistema de edificios, entre otros.

Cada uno de estos sistemas puede contener una vulnerabilidad que puede ser explotada por un ciberatacante para obtener acceso a la infraestructura médica.

No hay mejor cura que la prevención

La prevención es la mejor receta para ciberseguridad a datos tan sensibles como los relacionados con la salud de las personas. Además de las medidas necesarias para
proteger la infraestructura corporativa, usuarios e instituciones, hay que excluir del acceso externo a todos los sistemas de información que procesen los datos médicos y demás información sobre los pacientes; crear un segmento separado para todo el equipo médico que se conecte a una estación de trabajo, y que cualquier sistema de información en línea debe estar fuera de la red corporativa.

También es necesario hacer un seguimiento constante de las actualizaciones para sistemas médicos; cambiar las contraseñas predeterminadas y crear contraseñas complejas para todas las cuentas, y eliminar las cuentas innecesarias de la base de datos (como las cuentas de prueba), concluye el estudio de Kaspersky.