Es increíble la evolución del modelo de cibercrimen como servicio, observamos una “profesionalización” de grupos que operan como empresas, incluso algunas con una coordinación y logística que muchas organizaciones lícitas envidarían.
El estudio de Kaspersky “Hunting IT professionals on the dark web” documenta un análisis muy interesante de las ofertas de trabajo en foros de darknet, exponiendo datos que sin duda sorprenden, por ejemplo: no son los atacantes los perfiles más socorridos sino los desarrolladores; existen ofertas para construir plantillas completas de TI con salarios estratosféricos de acuerdo con los retos y actividades a realizar, y por supuesto existen beneficios adicionales que más de un candidato no deja escapar, como la libertad de definir horarios e incluso periodos para descansar.
En fin, esto te lleva a considerar que se debe reforzar en las universidades la ética y generar conciencia de la importancia de no acercarse a estos mercados; lamentablemente lo observamos en nuestro país en otros ámbitos, como lo es el crimen organizado, que se ha convertido en una alternativa para muchos jóvenes que no tienen la oportunidad de continuar sus estudios u obtener un trabajo digno. En el caso de los grupos cibercriminales, hablamos de tentar a profesionistas que deben ser conscientes que los riesgos asociados con trabajar para estas organizaciones y «moverse al lado oscuro” superan por mucho los beneficios.
El Director del FBI declaró la semana pasada que la agencia frustró un ciberataque en junio de 2021 dirigido al Boston Children’s Hospital.
El ataque se adjudicó a un grupo APT respaldado por el gobierno iraní, el cual aprovechó vulnerabilidades de un firewall para acceder a las redes de control ambiental que estaban interconectadas con el hospital.
En este caso, la inteligencia del ecosistema de colaboración de agencias estadounidenses y la oportuna reacción del FBI impidió que existiera una afectación al centro con más de 400 camas, pero debemos recordar que lamentablemente no siempre se ha tenido suerte. El sector salud es de los objetivos más asediados por el cibercrimen y particularmente, la creciente amenaza del ransomware es de las más inquietantes. El emergimiento del IoT en las redes hospitalarias y la ausencia de controles de seguridad desde el diseño de los dispositivos médicos convierten a sus infraestructuras en un suculento vector de ataque para diferentes actores de amenaza.
Es curioso, si bien es evidente que en los centros hospitalarios públicos encontramos importantes carencias y diferencias entre ellos, podemos observar que los hospitales privados, en lo general, se distinguen por sus protocolos de seguridad. Podemos percibir orden, estructura, limpieza, alertas homogéneas, monitores y muchos señalamientos, así como zonas de triage y urgencias donde los procesos de respuesta son destacables. Las personas son constantemente capacitadas, parece que todas esas batas blancas y uniformes azules saben qué hacer en el momento preciso.
Sin embargo, en el grueso de los hospitales no se refleja este mismo panorama en su ciberseguridad, ¿qué se puede hacer? Por supuesto, no existe un tratamiento mágico y todos los centros hospitalarios tienen características particulares, pero un elemento fundamental en su estrategia debe ser seleccionar el framework adecuado que les guíe de la mejor manera en la definición de su postura de seguridad basada en su tamaño, complejidad y nivel de riesgo. El NIST CSF es una referencia socorrida en muchas industrias y puede ofrecer a los hospitales orientación sobre cómo protegerse de ciberataques y al mismo tiempo cumplir con regulaciones como HIPAA. Un recurso útil para las organizaciones que desean implementar el NIST CSF es Healthcare Sector Cybersecurity Framework Implementation Guide que se desarrolló a priori para apoyar a organizaciones del sector salud.
Otro instrumento clave que nunca debe faltar es el análisis de riesgos, que a manera de ecografía permitirá diagnosticar qué le duele a la infraestructura del hospital y cómo comenzar a tratar, o al menos paliar sus dolores. Este check-up debe realizarse periódicamente, de manera que podamos monitorear cualquier síntoma que denote la posibilidad de que ese riesgo se materialice.
Para reflexionar: el sector salud es estratégico para los estados y considerado como una infraestructura crítica, ¿hacemos lo adecuado, no solo como profesionales sino como sociedad, para protegerlo?
Como decía Séneca: “Parte de la curación está en la voluntad de sanar.”
