La pandemia generada por el COVID-19 ha puesto a prueba a todas las organizaciones e individuos en mayor o menor medida. Pero si hay un colectivo por el que toda la sociedad siente respeto y admiración por su esfuerzo es el que pertenece al sector sanitario, ya que se ha encontrado siempre al pie del cañón para salvar vidas y arriesgar las suyas propias.

Sin embargo, pese a todos sus esfuerzos y reconocimiento, este sector tampoco ha podido quedar exento de otros riesgos, como el auge de los ciberataques provocados durante la Pandemia del COVID-19. De hecho, Antonio Grimaltos, responsable de seguridad de la información de la Consejería de Sanidad de la Comunidad Valenciana,  abordó con Cytojmic a finales de marzo los retos a los que se enfrenta las administraciones públicas y la sanidad para hacer frente a las amenazas. Ahora, estas amenazas ya no sólo afectan al personal sanitario y sus sistemas, sino que también se están dirigiendo a sus constructores y proveedores, ya que también disponen de muchos de los datos sensibles que maneja el personal en los hospitales.

Laxitud de acceso en los programas SaaS_

Interserve es una compañía británica de outsourcing. Está considerada uno de los proveedores estratégicos del gobierno del Reino Unido y mantiene multitud de espacios e instalaciones de servicios públicos, desde redes de transporte como el metro a colegios y hospitales. Además, recientemente fue uno de los responsables de la construcción del hospital provisional Birmingham Nightingale, dedicado enteramente la pandemia del Coronavirus.

El pasado mes de mayo, una fuente anónima de la compañía informó al diario The Telegraph de que un grupo de ciberatacantes había robado información de su base de datos de Recursos Humanos. Al parecer, habrían tenido acceso a información de hasta 100.000 personas entre las que se encontrarían datos personales como nombres, nóminas y datos bancarios y de pensiones.  Toda esa información personal hospitaliara puede ser muy valiosa para los ciberatacantes y peligrosa para los afectados, ya que puede ser utilizada con fines maliciosos como:

  • Fraude en los seguros: para utilizar la información que contienen las pólizas para realizar actos con los que estafar a las aseguradoras.
  • Falsificación de recetas: como forma de obtener medicinas ilegalmente.
  • Extorsión individual: con el fin de contactar individualmente a los afectados y chantajearles con desvelar información médica o de alguna otra manera.
  • Medio para futuros ciberataques: también puede servir para recopilar información para realizar futuros ciberataques al mismo sistema o analizar la información individual de las personas afectadas para realizar campañas de ingeniería social dirigidas específicamente a ellos.

El comunicado de Interserve no especificó cómo los ciberatacantes obtuvieron la información, pero algunos expertos en ciberseguridad apuntan a la laxitud del acceso a las aplicaciones y programas SaaS como los que utilizan el personal de RRHH.

Contraseñas fuertes, MFA y control de los datos_

Esos mismos expertos consideran que es clave que las contraseñas de las credenciales que dan acceso a esos programas cumplan unos mínimos requisitos de solidez, como utilizar palabras no comunes, una suficiente longitud y caracteres diferentes y compuestos. Pero también apuntan a que las contraseñas “fuertes”, por si solas, no son suficientes.

Por ese motivo, señalan que también es necesario que implementen en esas credenciales una configuración de Autenticación Multifactor (MFA): este método de control de acceso, que ya incorporan muchos programas como estándar, consiste en que el usuario solo pueda acceder cuando haya presentado dos o más pruebas diferentes de que es quien dice ser, que pueden ser además de la contraseña inicial, un token, un certificado o la introducción de un código que se ha enviado automáticamente vía SMS al móvil personal del usuario.

Con todo, las grandes organizaciones y en especial las vinculadas a la salud, que controlan cientos de miles de datos sensibles en sus registros médicos, deberían poder contar con soluciones que les ofrezcan un control, gestión y protección absoluta de los datos en todos sus endpoints. Como respuesta a ello, se desarrolló Cytomic Data Watch, que protege los datos personales y sensibles, tanto en tiempo real como a lo largo de su ciclo de vida, tanto en endpoints como en servidores. De esta manera, la información del ámbito más valioso para todos podrá estar a salvo: la salud de las personas.