El coste oculto de un ciberataque en el sector de la salud

El ciberataque en el sector de la salud no solo está disparando los costes financieros (que ya son los más altos de cualquier industria), sino que también tiene consecuencias más profundas y difíciles de reparar. Para que te hagas una idea: una brecha de datos en una empresa sanitaria cuesta, de media, 10,93 millones de dólares. Eso es más del doble del promedio general, que ronda los 4,45 millones.  

Pero lo preocupante es todo lo que no se refleja en las cifras del balance: 

• La pérdida de pacientes o clientes, y con ellos, de ingresos. 
• La paralización de servicios críticos. 
• El efecto dominó en la cadena de suministro y en los proveedores de servicios. 
• Las multas por incumplir normativas. 
• El aumento de las primas de los seguros cibernéticos. 
• El daño a la reputación. 

La buena noticia es que hay formas de reducir este riesgo con una estrategia adecuada y herramientas eficientes. 

Ciberataque en el sector de la salud: consecuencias y vidas en juego 

El impacto de una becha de datos en el sector de la salud es más grave que en cualquier otro ámbito, afectando no solo a las finanzas, sino también a vidas humanas. 

Filtración de datos en SingHealth (2018) 

En 2018, el mayor proveedor de servicios de salud de Singapur, SingHealth, sufrió una filtración de datos que expuso la información personal de 1,5 millones de pacientes, incluido el primer ministro. Más del 60% de los afectados perdió la confianza en la empresa.  

Las consecuencias incluyeron una caída del 3% en las acciones, una pérdida de hasta el 15% de clientes y un aumento del 30% en menciones negativas en redes sociales. 

Ciberataque al NHS (2024) 

En Reino Unido, un ciberataque al Servicio Nacional de Salud (NHS) en 2024 obligó a suspender operaciones y tratamientos. La causa: no podían comprobar la compatibilidad de sangre de los pacientes por el fallo de sus sistemas digitales. Esto puso en riesgo la atención médica y evidenció la fragilidad de la infraestructura tecnológica en momentos críticos. 

Ataque a Change Healthcare (2024) 

Un ataque en 2024 contra Change Healthcare, con sede en EE. UU. y uno de los mayores procesadores de pagos de salud del mundo, provocó el cierre de centros de salud en todo el país, impidiendo y retrasando la atención médica a millones de personas. En dicho ataque, los ciberdelincuentes también accedieron a 4 terabytes de datos confidenciales de pacientes y empresas.  

A esto hay que sumarle los costes asumidos por la empresa matriz de Change Healthcare, UnitedHealth Group. Solo en concepto de rescate pagaron 22 millones de dólares, sin contar los honorarios legales, los gastos de recuperación y otros costes que se estima superarán los 1.600 millones de dólares.  

¿Por qué es tan vulnerable el sector sanitario? 

Los ciberdelincuentes han intensificado sus ataques al sector de la salud y no muestran señales de detenerse.  

En 2023, el número de sistemas hospitalarios afectados por ransomware casi se duplicó, pasando de 25 en 2022 a 46, según informa el New York Times. A nivel mundial, los incidentes relacionados con la atención médica casi se cuadruplicaron en 2023 respecto al año anterior, según el Repositorio Europeo de Incidentes Cibernéticos. 

Las naciones hostiles atacan diariamente a los proveedores de servicios de salud, según descubrió el Subcomité de Salud del Comité de Energía y Comercio de la Cámara de Representantes de EE. UU. en una audiencia reciente. 

La atención médica está altamente interconectada 

La interconexión convierte el sector de la salud en un objetivo especialmente atractivo y lucrativo. Consultorios médicos, clínicas, hospitales, dispositivos médicos, laboratorios, farmacias, historiales médicos electrónicos, aseguradoras, servicios de apoyo y otros repositorios de datos de atención médica conforman una vasta red de información interconectada. Vulnerar tan solo uno de estos elementos permite a los ciberdelincuntes acceder a una gran cantidad de datos valiosos. 

Los historiales médicos robados representan un objetivo especialmente atractivo, ya que se venden en la red oscura por diez veces más que los números de tarjetas de crédito robados, según la Asociación Americana de Hospitales. 

La seguridad en el sector de la salud es notoriamente deficiente 

La pandemia de COVID-19 contribuyó a esta situación, explica The Lancet. Para poder seguir atendiendo a los pacientes durante los confinamientos, muchos centros sanitarios adoptaron rápidamente nuevas tecnologías digitales, a menudo sin prestar suficiente atención a la seguridad. 

Y mantener una ciberseguridad adecuada puede ser costoso, ya que requiere actualizaciones constantes de sistemas, redes, apps y dispositivos digitales. Ante la falta de tiempo y recursos, muchos proveedores usan tecnologías y software obsoletos. 

Las vidas están en juego 

Una sola vulnerabilidad permite a los atacantes comprometer todo un sistema de atención médica, o incluso un ecosistema completo. Dado que hay vidas en juego, es más probable que los proveedores de servicios sanitarios paguen rescates para poder continuar con la atención a los pacientes . 

Ciberseguridad proactiva en el sector de la salud 

Según el Foro Económico Mundial, el 95% de los incidentes de ciberseguridad tienen su origen en errores humanos. Como hemos visto, incluso los proveedores de servicios de salud más grandes pueden carecer de una higiene cibernética básica. Tan solo mejorar la concienciación sobre ciberseguridad de los empleados podría evitar muchos ciberataques en el sector. 

El phishing ha sido durante mucho tiempo el arma más utilizada por los ciberatacantes, representando un tercio de los tipos de ataque, según el reciente Cyber Security Report de Hornetsecurity. Las URL maliciosas representan el 22,7% de los ataques. 

Reforzar tu primera línea de defensa (tus empleados) con el conocimiento y la concienciación necesarios para detectar y denunciar estas trampas puede reducir considerablemente la probabilidad de que tu organización se convierta en el próximo titular de una filtración de datos en el sector de la salud. 

---

El Security Awareness Service de Hornetsecurity puede ayudar a tus empresas sanitarias a detectar, prevenir y responder a las amenazas antes de que se intensifiquen. Nuestro servicio te ayudará a: 

• Proteger los datos confidenciales de tus pacientes contra ransomware y brechas de datos. 
• Reducir los errores humanos con formación específica para empleados. 
• Garantizar el cumplimiento de las normativas sanitarias. 
• Y mucho más. 

Utilizando tecnología de IA de última generación, el Security Awareness Service de Hornetsecurity ofrece formación online totalmente automatizada, personalizada para cada individuo y que se adapta a medida que aumenta el conocimiento de tu equipo. 

Nuestras simulaciones de phishing selectivo mantienen a tu personal siempre alerta y al tanto de las últimas tácticas de phishing, y nuestro Employee Security Index (ESI®) patentado mide y compara continuamente el comportamiento de seguridad de los empleados en toda la empresa. 

---

Conclusión: ahorro en costes de ciberataques visibles e invisibles 

El coste de un ciberataque en el sector de la salud, con consecuencias visibles e invisibles, es demasiado alto como para ignorarlo. 

Dado que el número y la gravedad del ciberataque en el sector sanitario siguen aumentando, mantener el statu quo no es una opción. La IA está intensificando la lucha, haciendo que los ataques de phishing e ingeniería social, en particular, sean más difíciles de detectar que nunca. Es hora de concienciar por el bien de tus empleados, clientes y empresa. 

El Security Awareness Service de Hornetsecurity enseña a tus empleados cómo proteger sus datos críticos y a sus pacientes. Ponte en contacto con nosotros para solicitar una demo y comprueba cómo una mayor concienciación puede mantener a tu empresa de salud y a tus clientes seguros.