En tres grandes ciberataques a empresas a las que las instituciones sanitarias holandesas habían subcontratado sus TIC, el año pasado se filtraron los datos médicos de unas 900.000 personas.
La Autoridad holandesa de protección de datos informa esto en su informe anual de violación de datos. Sanidad es el sector con más denuncias e incidencias: casi nueve mil en 2022. Así ha sido también en 2021. Esto no solo afecta a los hospitales vulnerables, sino también, por ejemplo, a la atención de ancianos, fisioterapeutas, médicos generales, farmacéuticos, matronas y dentistas.
En 2022, las cosas salieron mal tres veces a gran escala porque los piratas informáticos lograron penetrar en las empresas de TIC a las que muchos proveedores de atención médica habían subcontratado sus TIC.
Recientemente, la organización sucursal Z-CERT (equipo de respuesta a emergencias informáticas para la atención médica) alarma sobre la vulnerabilidad de los proveedores de atención médica. En 2022, la molestia causada principalmente por ataques con ransomware fue ‘mucho mayor’ que en 2021. A nivel europeo, Z-CERT registró 51 incidentes de ransomware en instituciones sanitarias europeas, un 65 por ciento más que en 2021.
Emails poco claros, poca urgencia
“La infraestructura compartida puede aumentar en gran medida el impacto de un solo incidente”, dice uno informe de c-zert. Las instituciones de atención médica no serían lo suficientemente conscientes de los riesgos si almacenan los datos de sus pacientes en una ‘nube’ y, por lo tanto, dependen de un tercero”.
Los datos que gestiona un proveedor de TIC “valen oro para los delincuentes”, señala la Autoridad de Protección de Datos de los Países Bajos. La organización de privacidad no revela los nombres de las empresas que no tenían su seguridad en orden. La AP trata principalmente de asegurarse de que las empresas afectadas informen a sus clientes o pacientes, para que puedan estar más alerta. Eso no siempre sale bien, según uno muestra por la Asociación de Consumidores. Las víctimas a menudo reciben correos electrónicos poco claros que expresan poca urgencia.
son instituciones de salud objetivos de alto potencial para los delincuentes que usan software de rehenes, dice Desmond de Haan, de la Autoridad holandesa de protección de datos. Las instituciones de atención médica son relativamente susceptibles de chantaje para pagar rescates, por ejemplo, porque dependen mucho de sus datos y, a menudo, se trata de información muy confidencial.
Lea también este artículo: Diecisiete detenciones en Holanda en investigación internacional sobre ciberdelincuencia
Chantajeable
No existe una forma confiable de verificar si las instituciones de atención médica pagan un rescate para recuperar el acceso a sus datos después de un ataque cibernético y evitar que se intercambien datos sobre sus pacientes. Asegúrate de que suceda.
“Eso depende de las propias partes”, dice Özlem Sehirli-Kaya, líder del equipo de violación de datos sobre esto. “Pero esa no es razón para no denunciar el robo de datos”. Ella enfatiza cuán importante es que los proveedores de atención médica tengan su seguridad en orden. “Si vas a un obstetra o fisioterapeuta, solo tienes que poder confiar en que tus datos están seguros”.
La Autoridad de Protección de Datos de los Países Bajos también ve un gran aumento en la cantidad de informes en los que se han agregado datos personales a un archivo incorrecto. A menudo se trata de errores humanos, no de ataques externos.
La preocupación es un valor atípico negativo. El número total de filtraciones de datos notificadas en 2022 fue menor que el año anterior, de 24 866 a 21 151. Lo mismo se aplica al número total de informes de ataques cibernéticos. Eso cayó después de años de aumentos de 2210 a 1826.
Lea también este artículo: ¿Se han filtrado tus datos? Puede hacer esto para evitar el phishing