Aumenta el mercado negro de datos médicos: un historial entre 30 y 900 euros

Uno de los mayores ciberataques sanitarios de la historia ocurrió en febrero de este año 2024. Y puso en relieve la vulnerabilidad del sector sanitario. Change Healthcare, una empresa que procesa pagos y recetas médicas en Estados Unidos, sufrió un ataque perpetrado por el grupo de ransomware Blackcat, que impidió a hospitales y centros médicos emitir recetas, recibir pagos y realizar otras funciones críticas.

Este caso es uno de los muchos que se producen en el sector salud. Y es que, este ámbito se ha convertido en uno de los principales objetivos de los ciberdelincuentes en los últimos años. Según el estudio realizado por ENISA (Agencia de la Unión Europea para la Ciberseguridad), la agencia de la Unión Europea a la que se le ha encomendado la misión de velar por un alto nivel común de ciberseguridad en toda Europa, sobre las amenazas de ciberseguridad en la salud en la UE, este sector registra el 8% de los incidentes de ciberseguridad. Esto sitúa al sector salud por detrás de la administración pública (19%), pero por delante de otros sectores como la banca (6%), el transporte (6%) o la energía (4%).

Otros informes, como el de Sophos sobre el estado del ransomware en la sanidad del año 2023, arrojan que la tasa de ataques de ransomware en el sector sanitario fue del 60%. Este índice revela que, prácticamente, estos ataques se han duplicado con respecto a 2021 cuando se notificaron un 34%.

El motivo de que el sector sanitario sea un objetivo recurrente para los ciberataques es simple: hospitales y proveedores almacenan información crítica y privada de los pacientes. De hecho, los proveedores de atención médica son los más afectados, con un 53% del total de incidentes. Y, aunque los hospitales se sitúan por debajo, con un 42% de los casos reportados, a menudo, son más vulnerables.

Esta vulnerabilidad es uno de los factores que han hecho aumentar los ciberataques, pero no el único ni el más importante. “Las empresas sanitarias son más propensas a pagar un rescate cuando su información se ve comprometida. Porque hay vidas que dependen de ello, porque operan un entorno muy regulado por protección de datos, porque se arriesgan a una pérdida reputacional y a sanciones administrativas… Los delincuentes lo saben”, reconoce Francisco Valencia, CEO de Secure&IT, una compañía española de TI especializada en ciberseguridad.

Además de la extorsión, la información de salud puede ser empleada para diversos fines ilícitos, como el robo de identidad o la venta en el mercado negro. Según el informe realizado por ENISA, un historial médico puede llegar a costar entre 30 y 900 euros, mientras que una tarjeta de crédito se puede vender entre 1 y 5 euros.

“Los datos médicos comprenden información confidencial relacionada con la salud de los individuos, incluyendo datos personales, historiales clínicos, resultados de pruebas diagnósticas, procedimientos médicos, medicaciones recetadas y cualquier otro detalle que pueda ser relevante para el diagnóstico, tratamiento o seguimiento de la salud de una persona. Estos datos son altamente sensibles y están protegidos por leyes y regulaciones estrictas en la mayoría de los países debido a su naturaleza privada y su potencial para ser utilizados de manera perjudicial si caen en manos equivocadas”, explica el CEO de Secure&IT.

Estos perjuicios pueden darse, por ejemplo, si esta información médica se filtra a la empresa en la que trabaja un determinado paciente o a su aseguradora. “Si revela condiciones de salud que podrían ser percibidas como limitantes, el paciente podría enfrentar discriminación o ser objeto de decisiones laborales injustas, como despidos, asignación de tareas menos deseables o negación de ascensos. Además, dependiendo de la naturaleza de la información médica divulgada, el paciente podría enfrentar dificultades financieras, como la pérdida de seguros médicos, la denegación de cobertura o el aumento de primas debido a condiciones preexistentes ”, subraya el experto.

Aunque los ciberataques tienen como objetivo principal el robo de datos sensibles, como historiales médicos, información financiera y otros datos personales, también pueden afectar a la prestación de servicios y la calidad de la atención que recibe el paciente. De hecho, las consecuencias de un ciberataque en el sector sanitario pueden ser ir más allá de una simple filtración de datos. Pueden llegar a ser auténticamente devastadoras. “Este tipo de ataques representa un peligro real para la salud de los pacientes. Imaginémonos un escenario donde los sistemas informáticos de un hospital se ven comprometidos, lo que provoca la desactivación de equipos médicos críticos o la alteración de registros de medicamentos. Las consecuencias podrían ser catastróficas: retrasos en la atención, diagnósticos erróneos e incluso la administración de tratamientos incorrectos. Así, podemos afirmar que los riesgos para la salud de los pacientes son reales y potencialmente mortales”, asegura Francisco Valencia.

Los ataques de denegación de servicio (DDoS), que tienen como objetivo sobrecargar los sistemas informáticos de una organización con tráfico falso, lo que los hace inaccesibles para los usuarios legítimos. Los ataques DDoS pueden causar graves interrupciones en la actividad de las organizaciones sanitarias.

El robo de patentes o datos de investigación

Aunque los proveedores de atención médica y los hospitales son los más afectados, en el sector de la salud existen otras entidades como las autoridades sanitarias y la industria farmacéutica que también han sido objetivo de ataques. “Existen otros colectivos de datos muy cotizados: los de patentes, desarrollos industriales e investigación, y los de la propia gestión hospitalaria”, advierte Francisco Valencia. Y añade: “Nos referimos a los datos estratégicos que hacen competente a una compañía y que tienen que ver con los componentes de una vacuna o un determinado medicamento. Por otro lado, están los datos sobre las personas que prestan asistencia o las compras realizadas por los hospitales”.

Los datos de investigación de medicamentos o productos sanitarios pueden tener un alto valor en el mercado negro, ya sea para venderlos a competidores interesados en obtener una ventaja competitiva o para extorsionar a las empresas farmacéuticas mediante el chantaje. Pero también derivan en la fabricación de medicamentos falsos que se suelen vender en la dark web. “Buscan un colectivo de personas que tengan una patología determinada para venderles su solución milagrosa. Muchos de estas personas estarán desesperadas por encontrar una solución a su patología y, a veces, se agarran un clavo ardiendo. Por lo que, son víctimas de fraudes de este tipo”, comenta Francisco Valencia.

Factores que agravan el problema del sector sanitario

La falta de recursos, la complejidad de los sistemas informáticos y la falta de concienciación del personal sanitario agravan esta situación. Según estudios de referencia, las principales puertas de entrada para los ciberataques en el sector salud incluyen la mala configuración de seguridad, errores humanos en la operación, ataques de ingeniería social y ataques en la cadena de suministro.

“Alguien que se dedica al mercado negro de datos sanitarios no va a abandonar su empeño porque cifremos los datos. Esto es siempre una guerra y, lamentablemente, el crimen va un paso por delante. Por lo que siempre tenemos que estar a la última para reducir el riesgo al máximo posible”, apunta Valencia. Y añade: “Además, sucede que los cibercriminales no se creen criminales, se creen Robin Hood. muchos atacan por entender que es injusto que tengamos sanidad a dos velocidades en el mundo”.

Lo primero, según el experto requiere desarrollar medidas organizativas. “Debemos responder a las preguntas: ¿quién tiene que acceder a los datos médicos? ¿cuándo y para qué?”, señala. Cifrar la información, controlar el acceso con la identificación de la persona, evitar su exposición y guardar la información de forma desasociada serían medidas tecnológicas que mitigarían el impacto en el caso de robo. Javier Martí, responsable de Ciberseguridad de Secure&IT, recalca: “La ciberseguridad en el sector salud es un desafío que no podemos ignorar. Es necesario tomar medidas contundentes para proteger la información de los pacientes y garantizar la confianza en el sistema sanitario”. Porque, si seguimos accediendo a chantajes, contribuimos a que el cibercrimen sea rentable y no podremos acabar con él.