Las empresas sanitarias se convierten en el nuevo foco de los ciberataques

Durante 2018, se registraron un total de 33.000 ciberataques contra entidades públicas y empresas españolas, lo que supuso un aumento del 25% en comparación con el año anterior, según datos del Centro Criptológico Nacional, organismo dependiente del CNI.

De todos ellos, más de 1.600 fueron clasificados como de “peligrosidad alta” por las autoridades, lo que convierte a este tipo de ofensivas a través de los servicios de telecomunicaciones como una de las últimas amenazas a abordar por parte de cientos de compañías en nuestro país.

En lo últimos años, gran parte de estos ataques han comenzado a poner el foco en un sector aparentemente alejado de los intereses estratégicos y políticos de los países: la industria de la salud. Según el último informe de la compañía de ciberseguridad Proofpoint, los ciberataques por correo electrónico a empresas del sector sanitario se han disparado en el último año.

En particular, la inmensa mayoría de los ataques, dirigidos contra proveedores de servicios sanitarios, compañías farmacéuticas y aseguradoras de salud se realizaron a través de correos electrónicos maliciosos con el objetivo de obtener acceso a los datos internos de estas empresas, cuyo riesgo es doble. Por un lado, están expuestos a que salgan a la luz los datos sanitarios de miles de pacientes, que pueden ser mucho más comprometedores que la publicación de una cuenta bancaria.

Los ciberataques exponen datos de salud personales. El ransomware cierra salas de urgencias. Los correos electrónicos fraudulentos afectan a socios comerciales, pacientes y personal clínico. Estas amenazas perjudican la capacidad de la industria de Salud para atender a los pacientes

Por el otro, las grandes farmacéuticas se juegan el que la información relacionada con el desarrollo de sus nuevos medicamentos, sobre los que pesa un secreto comercial gigantesco, sea robada o transmitida a la competencia, después de años de inversión e investigación. El espionaje comercial se ha convertido en una de las grandes motivación detrás de estas ofensivas.

Unos cinco millones de coste 

De media, según un cálculo de Bank of America, el coste medio que tiene un ciberataque en la industria farmacéutica roza los cinco millones de euros. “Pocas industrias tienen una misión más crítica, datos más sensibles y operativas más complejas que el sector Salud. Desafortunadamente, esto implica que estas compañías son difíciles de proteger”, apuntan desde Proofpoint.

La irrupción que ha tenido la tecnología en el sector, donde la inmensa mayoría de las compañías han desarrollado enormes bases de datos de sus pacientes/clientes en los que cuentan con información sobre su historial sanitario y en ocasiones, hasta su información genética, ha convertido a esta industria en el blanco más deseado. De hecho, según un informe de la consultora Deloitte de 2017, la industria farmacéutica es el objetivo empresarial número uno entre los hackers.

“Los ciberataques exponen datos de salud personales. El ransomware cierra salas de urgencias. Los correos electrónicos fraudulentos afectan a socios comerciales, pacientes y personal clínico. Estas amenazas perjudican la capacidad de la industria de Salud para atender a los pacientes”, indica Ryan Witt, responsable de Ciberseguridad para el Sector Salud en Proofpoint.

Uno de los ejemplos más representativos de este tipo de ataques para la industria farmacéutica tuvo lugar en junio de 2017, cuando los laboratorios MSD fueron víctimas de un malware bautizado como NotPetya que causó estragos a nivel mundial, tanto en compañías internacionales como en varios ministerios del Gobierno de Ucrania.

La farmacéutica tuvo que paralizar su producción y bloquear todos sus sistemas informáticos, lo que le reportó pérdidas de hasta 1.000 millones de euros.  Este año, dos de los gigantes farmacéuticos más importantes de la industria,  Bayer y Roche fueron el blanco de uno de estos ataques, en este caso vinculados con atacantes vinculados con el Gobierno chino, según informaron ambas compañías.

Se dirigen a los empleados 

El informe de Proofpoint, realizado sobre cientos de millones de correos maliciosos, destaca que la inmensa mayoría de los ciberataques se dirigen a los empleados de las compañías, más que a la infraestructura empresarial.

La mecánica suele ser la siguiente: engañan a los trabajadores de estas organizaciones para que abran un archivo adjunto inseguro o un enlace dudoso que conduce a un sitio de malware. Luego, se hacen pasar por ejecutivos de las compañías e indican al personal que transfiera dinero o envíe información confidencial, para luego infiltrarse en el sistema y hacerse con los datos en cuestión.

Según la compañía de ciberseguridad, el 55% de todos los correos electrónicos falsos incluía las palabras “pago” (28%), “solicitud” (15%) o “urgente” (12%) en la línea de asunto. Los perfiles más atacados en el sector salud son los de empleados normales con acceso privilegiado a datos, sistemas o contactos sensibles. Factores como el acceso a datos o sistemas críticos y contar con una cuenta de correo electrónico pública, pueden convertir a cualquier persona dentro de las organizaciones en objetivo específico de los atacantes.