• Home /

  • /

  • Más del 20% de los ciberataques al sector sanitario en EE.UU. han derivado en un aumento de la mortalidad de los pacientes

Más del 20% de los ciberataques al sector sanitario en EE.UU. han derivado en un aumento de la mortalidad de los pacientes

Así lo determina un nuevo estudio de del Instituto Ponemon y Proofpoint sobre la ciberseguridad en el sector de la salud en Estados Unidos.

Guardar

Pasillo de un hospital.
Pasillo de un hospital.

El sector sanitario ha pasado a ser un objetivo recurrente para los ciberdelincuentes en el primer semestre de 2022, como advertimos recientemente en Escudo Digital haciéndonos eco de un informe que ponía el foco en los Estados Unidos. Ahora ha salido a la luz un nuevo estudio, también centrado en EE.UU., que revela el daño económico que provocan los ciberataques contra esta industria y el impacto que generan en los pacientes.

Este estudio ha sido realizado conjuntamente por Proofpoint y el Instituto Ponemon, contando con la participación de 641 profesionales de TI y seguridad de la sanidad estadounidense. Lleva por título "Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care" y revela que el 89% de las organizaciones sanitarias encuestadas ha sufrido una media de 43 ataques en los últimos 12 meses, casi uno por semana.

Según indica, la consecuencia más habitual de los ciberataques contra este sector es el retraso de procedimientos y pruebas médicas, lo que se traduce en malos resultados en cuanto a la evolución médica de los pacientes para el 57% de los proveedores de asistencia sanitaria y en un aumento de las complicaciones de los procedimientos médicos para casi la mitad de ellos. Además, más del 20% de aquellas que se han visto afectada por los cuatro tipos de ciberataques más comunes —compromiso de cloud, ransomware, cadena de suministro y vulneración de correo electrónico empresarial (BEC) o suplantación de identidad— ha observado un aumento de las tasas de mortalidad de los pacientes.

El ransomware es el ciberataque que tiene más probabilidades de repercutir negativamente en la atención al paciente, provocando retrasos en procedimientos o pruebas en el 64% de las organizaciones y hospitalizaciones más largas para los pacientes en el 59% de ellas.

"Los ataques que hemos analizado suponen una importante carga para los recursos de las organizaciones sanitarias. El efecto de esto no es solo un coste tremendo, sino también un impacto directo en la atención a los pacientes, poniendo en peligro la seguridad y el bienestar de las personas", ha declarado Larry Ponemon, presidente y fundador del Instituto Ponemon.

"La mayoría de los profesionales de TI y seguridad considera que sus organizaciones son vulnerables a estos ataques, y dos tercios creen que tecnologías como cloud, móvil, big data e Internet de las Cosas (IoT), que están teniendo una mayor adopción, aumentan aún más los riesgos en torno a datos y pacientes", ha añadido Ponemon.

Otras conclusiones destacadas de este estudio: La magnitud de los costes financieros, las preocupaciones, los retos…

Este informe ha arrojado otras conclusiones relevantes y Proofpoint ha destacado las que recopilamos a continuación, siguiendo la información facilitada por la compañía de ciberseguridad.

  • Los costes financieros de los ciberataques son enormes. El ciberataque más caro ha costado una media de 4,4 millones de dólares en los últimos 12 meses, siendo la pérdida de productividad el impacto financiero más significativo (1,1 millones de dólares).
  • El ransomware es la segunda mayor vulnerabilidad. El 72% de los encuestados cree que sus organizaciones son vulnerables a un ataque de ransomware, y el 60% afirma que este es el tipo de ataque que más les preocupa. En consecuencia, el 62% ha tomado medidas para prevenir y responder al ransomware.
  • La falta de seguridad en el Internet of Medical Things (IoMT) es una de las principales preocupaciones. Las organizaciones sanitarias tienen una media de más de 26.000 dispositivos conectados a la red. Aunque el 64% de los encuestados está preocupado por la seguridad de los dispositivos médicos, solo el 51% los incluye en su estrategia de ciberseguridad.
  • Las organizaciones sanitarias se sienten a la vez más vulnerables y preparadas para el compromiso de cloud. El 75% de los encuestados afirma que sus organizaciones son vulnerables a un compromiso de cloud, y el 54% señala que en los últimos dos años ha tenido al menos uno de estos incidentes. Las organizaciones dentro de este grupo han pasado por una media de 22 vulneraciones de este tipo en los últimos dos años. Pero al igual que son las más vulnerables, también son las más preparadas para un compromiso de cloud, con un 63% centrado en tomar medidas para enfrentarse y responder a estos ataques.
  • La escasa preparación pone en riesgo a los pacientes. Aunque el 71% de los participantes considera que son vulnerables a los ataques a la cadena de suministro y el 64% opina lo mismo sobre BEC y la suplantación de identidad, solo el 44% y el 48% tiene una respuesta documentada para estos ataques, respectivamente.
  • Los programas de formación y concienciación, junto con la supervisión de los empleados, son las dos principales defensas. Las organizaciones reconocen que los empleados descuidados y negligentes suponen un riesgo importante. El 59% aborda la falta de concienciación de su plantilla, y el 63% de ellas lleva a cabo programas regulares de formación y concienciación, mientras que el 59% supervisa las acciones de los empleados.
  • La falta de financiación y recursos sigue siendo un reto. El 53% de los participantes dice que la falta de experiencia interna es un reto; y el 46% de las organizaciones, que carecen de personal suficiente. Ambas deficiencias afectan negativamente a la estrategia de ciberseguridad.

"La sanidad ha ido tradicionalmente por detrás de otros sectores a la hora de abordar las vulnerabilidades ante el creciente número de ataques de ciberseguridad, y esta inacción tiene un impacto negativo directo en la seguridad y el bienestar de los pacientes", ha afirmado Ryan Witt, responsable de ciberseguridad sanitaria en Proofpoint, y ha apuntado:

"Mientras la ciberseguridad siga teniendo poca prioridad, los proveedores de atención médica seguirán poniendo en peligro a sus pacientes. Para evitar consecuencias devastadoras, las organizaciones sanitarias deben entender cómo la ciberseguridad afecta a la atención de sus pacientes y dar los pasos hacia una mejor preparación que proteja a las personas y defienda los datos".