Comencemos con una pregunta que invita a la reflexión: entre un número de tarjeta de crédito, un número de seguro social y un Registro Médico Electrónico (EHR), ¿Cuál tiene el precio más alto en un foro de la web oscura?
Sorprendentemente, se trata del EHR, y la diferencia es marcada: según un estudiar, los EHR se pueden vender por hasta $1,000 cada uno, en comparación con solo $5 por un número de tarjeta de crédito y $1 por un número de seguro social. La razón es simple: si bien una tarjeta de crédito se puede cancelar, tus datos personales no.
Esta importante disparidad de valores subraya por qué la industria de la salud sigue siendo un objetivo principal para los ciberdelincuentes. El rico depósito de datos confidenciales del sector presenta una oportunidad lucrativa para los atacantes con fines de lucro. Durante 12 años consecutivos, la atención médica ha enfrentado los costos promedio por infracción más altos en comparación con cualquier otro sector. Superar un promedio de 10 millones de dólares por infracciónsupera incluso al sector financiero, que incurre en un coste medio de unos 6 millones de dólares.
La gravedad de este problema queda ilustrada aún más por el aumento de más del triple en los “incidentes de piratería informática o de TI” reportados a la Departamento de Salud y Servicios Humanos de EE. UU. (HSS) de 2018 a 2022.
Número de infracciones reportadas al Departamento de Salud y Servicios Humanos (HHS) de EE. UU. según la ley. Un incidente de piratería o de TI es un tipo de infracción que implica una intrusión técnica. Fuente: Portal de infracciones del HHS |
El principal adversario en este escenario es una amenaza bien conocida: Secuestro de datos. Esta forma de ciberataque se ha dirigido cada vez más al sector sanitario, aprovechando la naturaleza crítica de la atención al paciente para ejercer presión. Los cárteles de ransomware consideran que la industria de la salud es un objetivo ideal debido a varios factores:
Las innovaciones en tecnología médica, incluidas herramientas de diagnóstico, telemedicina, dispositivos sanitarios portátiles e imágenes digitales, han llevado a una mayor dependencia de los sistemas digitales.
- Alta Digitalización: El sector sanitario está impulsado por la innovación, y muchos terceros manipulan datos muy sensibles como los EHR.
- Limitaciones de recursos: Muchas organizaciones sanitarias sufren de falta de personal y de experiencia en ciberseguridad, lo que deja sus entornos de TI (a menudo heredados) vulnerables a los ataques.
- Altas estacas: El imperativo de mantener la atención al paciente crea fuertes incentivos para que las organizaciones de atención médica paguen rescates, lo que las convierte en objetivos atractivos.
A pesar de estos desafíos, la situación no es del todo grave. Una estrategia clave para proteger datos confidenciales implica adoptar la mentalidad de un atacante. Este enfoque arroja luz sobre el cálculo de costo-beneficio de los atacantes potenciales, identificando qué activos podrían atacar y sus probables métodos de ataque.
Una comprensión importante en este contexto es que la naturaleza de las amenazas no necesariamente se ha vuelto más sofisticada; más bien, la superficie de ataque (la gama de puntos potenciales de vulnerabilidad) se ha ampliado. Al centrarse en el inventario de activos y monitorear la superficie de ataque, las organizaciones pueden obtener una ventaja estratégica.. Ver sus propios sistemas desde la perspectiva del atacante les permite anticipar y contrarrestar amenazas potenciales, dándoles la vuelta de manera efectiva.
Cómo funciona el ransomware
La imagen estereotipada de los hackers como figuras solitarias que llevan a cabo ciberatracos multimillonarios vestidos con sudaderas con capucha negras es en gran medida un mito. El panorama actual del cibercrimen es mucho más sofisticado y se asemeja a una industria con sus propios sectores y especializaciones. Esta evolución se ha visto facilitada por las redes anónimas y las monedas digitales, que han transformado el ransomware en un negocio mercantilizado.
De hecho, el cibercrimen se ha vuelto más organizado, pero las tácticas fundamentales permanecen prácticamente sin cambios. La estrategia principal sigue implicando explotar errores humanos y capitalizar las vulnerabilidades “fáciles” dentro del vasto ecosistema de software.
Una idea clave sobre la mentalidad de los ciberdelincuentes es reconocer que operan como empresas. Invariablemente optan por los métodos más sencillos y rentables para lograr sus objetivos. Esto incluye la especialización en áreas como obtener acceso inicial a entornos de TI, que luego se vende a otras entidades criminales como pandillas, afiliados, estados-nación o incluso otros corredores de acceso inicial (IAB).
Irónicamente, piratear aplicaciones web puede parecer casi obsoleto en comparación con la estrategia más simple de explotar datos de acceso público para obtener ganancias. Un ejemplo conmovedor es el violación de los registros genéticos de los clientes de 23andMe. Esta violación no fue el resultado de una piratería directa.; más bien, el atacante utilizó credenciales filtradas de otros sitios, accedió a los datos y luego los monetizó en la web oscura.
La fuente de estos datos explotables suele ser sorprendentemente sencilla. La información confidencial, incluidas claves API, tokens y otras credenciales de desarrollador (“secretos”), suele quedar expuesta en plataformas como GitHub. Estas credenciales son particularmente valiosas porque brindan acceso directo a datos lucrativos, lo que las convierte en un objetivo principal para los ciberdelincuentes que buscan ganancias fáciles.
Por qué descubrir los secretos antes que ellos podría ser tu salvación
En 2022, se encontraron la asombrosa cifra de 10 millones de secretos filtrados en GitHub, como reportado por la firma de seguridad GitGuardian. Esto representa un aumento del 67% con respecto al año anterior, lo que indica que aproximadamente uno de cada diez autores de código Secretos expuestos durante este período.
Este fuerte aumento puede atribuirse a la naturaleza omnipresente de los secretos en las cadenas de suministro de software modernas. Estos secretos, que son esenciales para conectar diversos componentes de TI, como servicios en la nube, aplicaciones web y dispositivos de IoT, también son propensos a escapar a la supervisión y convertirse en importantes riesgos de seguridad. Los ciberdelincuentes son muy conscientes del valor de estos secretos filtrados, ya que pueden proporcionar acceso a sistemas de TI internos o incluso acceso directo a Terabytes de datos no protegidos..
La reciente revelación por Becton Dickinson (BD) de siete vulnerabilidades en su software FACSChorus, según informó el Revista HIPAA, es un claro recordatorio de los continuos desafíos de seguridad de las aplicaciones en el sector de la salud. Una vulnerabilidad notable, CVE-2023-29064involucraba un secreto codificado en texto plano que potencialmente podría otorgar privilegios administrativos a usuarios no autorizados.
Para defenderse de tales vulnerabilidades, es esencial que las organizaciones adopten una postura de vigilancia continua. Monitorear automáticamente la presencia de su organización en plataformas como GitHub es fundamental para evitar sorpresas por secretos expuestos. Es igualmente importante contar con un equipo dedicado que realice una investigación exhaustiva para identificar activos expuestos, almacenamiento de datos mal configurado o credenciales codificadas dentro de su infraestructura digital.
Tomar medidas proactivas es clavey un paso práctico es considerar un servicio gratuito Auditoría de superficie de ataque de GitHub proporcionado por GitGuardian. Una auditoría de este tipo puede ofrecer información valiosa, incluida una evaluación de la huella digital de la organización en GitHub. Puede resaltar la cantidad de desarrolladores activos que utilizan correos electrónicos profesionales, el alcance de las posibles filtraciones relacionadas con la organización y identificar aquellos que podrían ser explotados por actores maliciosos.
Además, para fortalecer aún más su postura de ciberseguridad, es recomendable integrar Honeytokens en su estrategia de seguridad. Fichas de miel sirven como señuelos que pueden atraer y detectar el acceso no autorizado, reduciendo significativamente el tiempo medio de detección (MTTD) de las infracciones. Este enfoque añade una capa adicional de seguridad, ayudando a contener el alcance de posibles atacantes y mitigar el impacto de una infracción.
Envolver
La industria de la salud, que posee un tesoro de datos valiosos, se encuentra en una punto fundamental en su lucha contra las ciberamenazas. Este sector, acosado por los ciberdelincuentes, ha soportado los costes medios más altos debido a las infracciones durante más de una década. La principal amenaza proviene de los grupos de ransomware, que han evolucionado hasta convertirse en operaciones sofisticadas y de tipo empresarial. Para contrarrestar estos peligros, las organizaciones sanitarias deben adoptar estrategias proactivas y vigilantes. La clave entre ellas es la seguimiento periódico de las huellas digitales en plataformas como GitHub y realizando investigaciones exhaustivas para identificar y proteger contra activos expuestos. Este enfoque es vital para proteger los datos y la privacidad de los pacientes. Utilizar servicios como el gratuito Auditoría de superficie de ataque de GitHub puede proporcionar información valiosa sobre vulnerabilidades potenciales.
A medida que la tecnología siga evolucionando, la naturaleza de las amenazas a la ciberseguridad progresará inevitablemente. Es imperativo que la industria de la salud se mantenga a la vanguardia de estos desafíos. Esto incluye no sólo implementar las últimas tecnologías de seguridad, sino también fomentar una cultura de concienciación sobre la seguridad entre todos los miembros del personal.