2020 y 2021 han sido años especialmente prolíficos en cuestión de ciberataques a hospitales y el sector de la salud, con los actores de amenazas distribuyendo ransmoware en estos espacios sin miramientos.
Los centros médicos han pasado a estar en su foco principal, siendo conscientes de su mayor fragilidad por los cambios que han tenido que hacer a marchas forzadas con la pandemia. A los ciberdelincuentes no les ha preocupa dejar sin asistencia a muchos pacientes al bloquear los sistemas de los hospitales y provocar un colapso sanitario.
Ahora, un estudio que se acaba de publicar señala que el 53% de los dispositivos médicos conectados (IoMT) contienen vulnerabilidades críticas a pesar del aumento de las inversiones en seguridad. Así lo señala la firma Cynerio.
De base hay que indicar que el informe puede no ser del todo objetivo o desinteresado, ya que Cynerio es una compañía que vende soluciones de ciberseguridad de equipos IoT médicos y de salud.
Esta compañía también señala en su trabajo que el 53% de los dispositivos IoT de atención médica de cabecera, de los que los pacientes dependen más para obtener resultados de salud óptimos, tienen un riesgo crítico identificado.
Si son atacadas, estas vulnerabilidades podrían afectar a la disponibilidad del servicio, la confidencialidad de los datos o la seguridad del paciente, con consecuencias potencialmente mortales.
Equipos con versiones de Windows anticuadas
Además, el estudio deja otros hallazgos interesantes. Las bombas intravenosas serían el dispositivo IoT de atención médica más común y con mayor riesgo de su sufrir ataques. Suponen el 38% de los gadgets IoT de atención médica de un hospital y el 73% de los mismos contaría con una vulnerabilidad que podría poner en peligro la seguridad del paciente, la confidencialidad de los datos o la disponibilidad del servicio.
Otra conclusión llamativa es que muchos dispositivos IoT de atención médica ejecutan versiones obsoletas de Windows, usándose sobre todo para farmacología, oncología y equipos de laboratorio, pero también en radiología, neurología y cirugía.
Además, el informe pone de manifiesto que los riesgos más comunes de los dispositivos IoMT y IoT están relacionados con las contraseñas y configuraciones predeterminadas que los atacantes a menudo pueden obtener fácilmente de los manuales publicados online, con el 21 % de los dispositivos protegidos por credenciales débiles o predeterminadas.
“La atención médica es un objetivo principal para los ciberataques, e incluso con inversiones continuas en seguridad cibernética, las vulnerabilidades críticas permanecen en muchos de los dispositivos médicos de los que dependen los hospitales para la atención de los pacientes”, subraya Daniel Brodie, CTO y cofundador de Cynerio.
"Es hora de que todos demos un paso al frente. Con las primeras muertes relacionadas con ransomware reportadas el año pasado, podría significar vida o muerte”, añade.