La compañía de ciberseguridad Proofpoint y el Instituto Ponemon han publicado los resultados de su tercera encuesta anual sobre los efectos de la ciberseguridad en la atención médica en Estados Unidos. El informe Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024 muestra que el 92% de las organizaciones de atención médica encuestadas experimentó al menos un ciberataque en los últimos 12 meses, lo que supone un aumento del 88% en 2023, con un 69% reportando interrupciones en la atención al paciente como consecuencia. Con un coste medio de 1,47 millones de dólares, los parones en operaciones habituales de atención sanitaria por problemas de disponibilidad del sistema sigue siendo la consecuencia más cara de las amenazas
Entre las organizaciones que sufrieron los cuatro tipos de ataques más comunes (compromiso cloud, ransomware, cadena de suministro y compromiso del correo electrónico empresarial o BEC), el 56% obtuvo malos resultados en atención a pacientes debido a retrasos en procedimientos y pruebas, el 53% vio un incremento en complicaciones en torno a procedimientos médicos y el 28% apuntó una subida en las tasas de mortalidad de los pacientes (un aumento de cinco puntos porcentuales respecto al año anterior). Estas conclusiones indican que las organizaciones de atención médica mantienen su lucha por mitigar los riesgos que los ciberataques representan para la seguridad y el bienestar de los pacientes.
Estancias más prolongadas
El estudio, en el que han participado 648 profesionales de seguridad y tecnología de la información en organizaciones de servicios médicos de Estados Unidos, detecta que los ataques a la cadena de suministro tienen más probabilidades de afectar a la atención al paciente. Más de dos tercios (68%) de los encuestados contaron que sus organizaciones sufrieron un ataque contra sus cadenas de suministro, de los cuales un 82% dijo que interrumpió la atención al paciente, un 77% más que en 2023. BEC lidera el grupo de ataques con mayor probabilidad de dar malos resultados debido a retrasos en procedimientos y pruebas (69%) seguido del ransomware (61%), que también podría resultar en estancias más prolongadas (58%) y un aumento en el número de pacientes desviados o transferidos a otras instalaciones (52%).
El estudio también resalta el crecimiento de los pagos de ransomware, a pesar de que las preocupaciones al respecto han bajado: más de la mitad (54 %) de los encuestados cree que sus organizaciones son vulnerables o muy vulnerables a un ataque de ransomware, respecto al 64% en 2023. Aquellas organizaciones con ataques de ransomware (59% de los encuestados) sufrieron un promedio de cuatro ataques de este tipo en los últimos dos años. Si bien menos organizaciones pagaron el rescate (36% en 2024 frente a 40% en 2023), el rescate pagado aumentó un 10% hasta una media de 1.099.200 dólares en comparación con los 995.450 dólares del año anterior.
Pérdida de datos
Las aplicaciones móviles inseguras y los compromisos cloud o de cuentas se consideran las mayores ciberamenazas para las organizaciones de atención médica: las preocupaciones en torno a las aplicaciones móviles inseguras (eHealth) han aumentado hasta convertirse en la principal amenaza de seguridad en la atención médica, subiendo del 51% en 2023 al 59% en 2024. El compromiso cloud/cuenta fue la segunda mayor inquietud (55%); y la mensajería de texto fue la herramienta de colaboración más atacada (61%), seguida del email (59%). En cambio, las empresas están menos preocupadas por los dispositivos móviles de empleados.
Más del 90% de las entidades consultadas tuvieron al menos dos incidentes de pérdida o exfiltración de datos que involucraron información sensible y confidencial en los últimos dos años. El 51% dijo que un incidente de pérdida o exfiltración de datos afectó a la atención al paciente; de ellos, el 50% experimentó mayores tasas de mortalidad y el 37% tuvo retrasos en procedimientos y pruebas que desembocaron en malos resultados. En los últimos dos años, las organizaciones sufrieron un promedio de 20 incidentes de este tipo con los empleados como causa principal. Su negligencia por no seguir las políticas (31%), la pérdida accidental de datos (26%) y los empleados que envían información de identificación personal o información de salud protegida a un destinatario no deseado por email (21%) fueron los tres principales conductas que motivaron los ataques.
Formación
La falta de un liderazgo claro es una amenaza para el posicionamiento en ciberseguridad de la sanidad, según el estudio: el 55% de los encuestados afirman que la falta de experiencia interna de sus organizaciones es el principal impedimento para lograr una postura de ciberseguridad sólida. El desafío que supone la ausencia de un liderazgo claro aumentó significativamente desde 2023 del 14% al 49%, y la falta de presupuesto disminuyó del 47% al 40%.
Por otra parte, los programas tradicionales de formación en seguridad basados en el cumplimiento se están quedando cortos: los empleados negligentes suponen un riesgo significativo para las organizaciones sanitarias. Aunque más organizaciones (71% en 2024 frente al 65% en 2023) están tomando medidas para abordar el riesgo de la falta de concienciación de los empleados sobre las amenazas de ciberseguridad, ¿son eficaces para reducir los riesgos? Casi tres de cada cinco encuestados (59%) indican que llevan a cabo programas regulares de formación y concienciación.
Por primera vez se analizó el impacto que la inteligencia artificial (IA) está teniendo en la seguridad y la atención al paciente. Más de la mitad (54%) de los encuestados asegura que sus organizaciones han integrado la IA en la ciberseguridad (28%) o la han integrado tanto en la ciberseguridad como en la atención al paciente (26%). El 57% de estos encuestados consideran que la IA es muy eficaz para mejorar el posicionamiento de ciberseguridad de las organizaciones, y más de un tercio (36%) utiliza la IA y el aprendizaje automático para comprender el comportamiento humano.