Estados Unidos está padeciendo de lleno el creciente aumento de la cibercriminalidad contra el sector sanitario, un objetivo especialmente sensible al llegar a poner en riesgo la vida de los pacientes. De hecho, de acuerdo con un estudio de Proofpoint y el Instituto Ponemon publicado el año pasado, más del 20% de las organizaciones sanitarias que fueron víctima de un ciberataque vieron un aumento en las tasas de mortalidad de sus pacientes.
El Instituto Ponemon y Proofpoint acaban de lanzar la segunda edición de este estudio, titulado "Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023". Y, según advierten, las organizaciones sanitarias han avanzado poco en la mitigación de los ciberriesgos para seguridad y bienestar de sus pacientes.
Hasta el 88% de las organizaciones sanitarias encuestadas sufrió una media de 40 ciberataques en el último año, siendo los más comunes el ransomware, el correo electrónico empresarial (BEC), el compromiso cloud y la cadena de suministro. Entre las entidades que se vieron afectadas por estos cuatro tipos de ataque, el 66% vio perturbada la atención al paciente. En concreto, en el 57% de los casos hubo consecuencias por retrasos en procedimientos y pruebas, en el 50% aumentaron las complicaciones de procedimientos médicos y, lo que es peor, en el 23% se incrementaron las tasas de mortalidad de los pacientes.
Este informe, en el que se han encuestado a 653 profesionales de TI y seguridad del sector salud en Estados Unidos, señala que los ataques a la cadena de suministro son el tipo de amenaza con más probabilidades de afectar a la atención al paciente. Casi dos tercios (64%) de las organizaciones encuestadas sufrieron un ataque a la cadena de suministro en los dos últimos años. Entre ellas, el 77% experimentó interrupciones en la atención al paciente por su culpa, lo que supone un aumento respecto al 70% registrado en 2022.
Los ataques BEC, con diferencia, se perfilan como la amenaza con mayores probabilidades de provocar retrasos en procedimientos médicos (71%), seguidos de los ataques de ransomware (59%). Y también es más probable que los ataques BEC desemboquen en mayores complicaciones de procedimientos médicos (56%) y en estancias más largas (55%).
Además, las pérdidas económicas que suponen los ciberataques contra las organizaciones sanitarias también se han elevado, alcanzando una media de 4,99 millones de dólares, un 13% más que el año anterior.
En palabras de Larry Ponemon, presidente y fundador del Instituto Ponemon: "Por segundo año consecutivo, vemos que los cuatro tipos de ataques analizados suponen un impacto negativo directo en la seguridad y el bienestar del paciente". "Los resultados indican además que un mayor número de profesionales de TI y seguridad consideran que su organización es vulnerable a estos ataques, en comparación con los datos de 2022. Unos ataques que están ejerciendo una presión aún mayor sobre los recursos que en el año anterior, costando de media un 13% más en general y un incremento del 58% en el tiempo requerido para asegurar que el impacto en la atención al paciente quede subsanado".
Otras conclusiones del estudio
La segunda encuesta anual sobre el efecto de la ciberseguridad en la atención sanitaria en Estados Unidos también arroja otras conclusiones relevantes, como las que recogemos a continuación:
- El ransomware sigue siendo una amenaza presente en las organizaciones sanitarias, a pesar de que disminuyen las preocupaciones al respecto: el 54% de los encuestados afirma que su organización sufrió un ataque de ransomware, frente al 41% de 2022. Sin embargo, en esta ocasión se redujo la preocupación por esta amenaza, ya que fue mencionada por el 48% de los encuestados frente al 60% del año pasado. También bajó el número de organizaciones encuestadas que pagaron el rescate solicitado por los ciberdelincuentes, pasando del 51% en 2022 al 40% en 2023. No obstante, el coste medio del pago de rescate más elevado se disparó un 29%, hasta un total de 995.450 dólares. El 68% de organizaciones apuntó, además, que los ataques de ransomware provocaron interrupciones en la atención al paciente y el 59% registró retrasos en procedimientos y pruebas.
- Todas las organizaciones encuestadas sufrieron al menos un incidente de pérdida o filtración de datos confidenciales en los últimos dos años: el 43% de los encuestados afirmó que la pérdida o filtración de datos repercutió en la atención al paciente. De ellos, el 46% registró un aumento de las tasas de mortalidad y el 38% un incremento de las complicaciones derivadas de procedimientos médicos. Las organizaciones sufrieron una media de 19 incidentes de este tipo, siendo las personas malintencionadas las principales responsables de los mismos, según el 32% de encuestados.
- Hay una menor preocupación por los ataques a la cadena de suministro, a pesar de que estos interrumpen significativamente la atención al paciente: Mientras que en 2022 el 71% de los encuestados expresó su preocupación por la vulnerabilidad de su organización ante los ataques a la cadena de suministro, este año el porcentaje ha caído al 63%. Al mismo tiempo, el 64% afirmó que las cadenas de suministro de sus organizaciones fueron atacadas una media de cuatro veces. Entre estas, el 77% vio alterada la atención a los pacientes, lo que supone un aumento del 70% respecto al registrado el año anterior.
- Las organizaciones sanitarias se sienten más vulnerables y más preocupadas por el compromiso cloud: el 74% considera que su organización es más vulnerable a estos ataques, igual que el 75% del año pasado. Sin embargo, un mayor número está preocupado por las amenazas que plantea la nube: un 63% en 2023 frente al 57% en 2022. De hecho, el compromiso cloud ha pasado del quinto puesto que ocupaba el año pasado al primer puesto como amenaza más preocupante este año.
- La preocupación por los ataques BEC o de spoofing ha aumentado significativamente: el número de encuestados preocupados por estas amenazas ha subido del 46% del año pasado hasta el 62%. Más de la mitad (54%) de las organizaciones sufrió una media de cinco incidentes de este tipo. Esta creciente preocupación puede deberse a que se ha demostrado que los ataques BEC o de spoofing tienen más probabilidades que otros de provocar efectos negativos relacionados con retrasos en procedimientos (71%), aumento de complicaciones derivadas de procedimientos (56%) y estancias más largas (55%).
- La escasa preparación frente a ataques BEC, spoofing y a la cadena de suministro pone en peligro a los pacientes: aunque el número de organizaciones preocupadas por estas amenazas se ha elevado, menos de la mitad (45%) toma medidas para prevenir y reaccionar a este tipo de ataques. Del mismo modo, a pesar de la prevalencia de interrupciones en la atención al paciente por ataques a la cadena de suministro, el 45% de las organizaciones ha documentado medidas de respuesta.
- La falta de experiencia interna y la insuficiencia de personal suponen un reto aún mayor que antes para la postura de ciberseguridad: este año más organizaciones han sido conscientes de estos desafíos, con un 58% señalando la falta de experiencia frente al 53% en 2022 y un 50% apuntando a la escasez de personal respecto al 46% de 2022.
"Si bien el sector de la atención médica sigue siendo altamente vulnerable a los ataques de ciberseguridad, nos alienta saber que los ejecutivos de esta industria comprenden el impacto que puede tener un evento de ciberseguridad en estos servicios. Asimismo, somos optimistas en cuanto a los avances que se pueden lograr para proteger a los pacientes del daño que causarían dichos ataques", afirma Ryan Witt, presidente de la junta asesora de clientes del sector sanitario de Proofpoint.
"Nuestra encuesta muestra que las organizaciones sanitarias son conscientes de los ciberriesgos a los que se enfrentan. Ahora les toca trabajar con sus pares de la industria y aceptar el apoyo gubernamental para construir una postura de ciberseguridad más sólida y brindar la mejor atención posible a los pacientes", apunta.