ENISA publica el primer informe sobre las amenazas de ciberseguridad en el sector de la salud de la UE

El último análisis integral de ENISA mapea y estudia los ataques cibernéticos, identificando las principales amenazas, actores, impactos y tendencias durante un período de más de 2 años, proporcionando información valiosa para la comunidad de atención médica y los responsables políticos. El informe se basa en un total de 215 incidentes notificados públicamente en la UE y los países vecinos, y revela una realidad preocupante de los retos a los que se enfrentó el sector sanitario de la UE durante el período que abarca el texto.

Incidentes generalizados. El sector sanitario europeo experimentó un número significativo de incidentes, y los proveedores de atención médica representaron el 53% del total de incidentes. Los hospitales, en particular, se llevaron la peor parte, con el 42% de los incidentes reportados. Además, las autoridades, organismos y agencias de salud (14%), y la industria farmacéutica (9%) fueron atacadas.

Ransomware y violaciones de datos. El ransomware surgió como una de las principales amenazas en el sector de la salud (54% de los incidentes). Se considera probable que esta tendencia continúe. Solo el 27% de las organizaciones encuestadas en el sector de la salud tienen un programa de defensa contra ransomware dedicado. Impulsados por las ganancias financieras, los ciberdelincuentes extorsionan tanto a las organizaciones sanitarias como a los pacientes, amenazando con revelar datos, personales o de naturaleza sensible. Los datos de los pacientes, incluidos los registros electrónicos de salud, fueron los activos más seleccionados (30%). De manera alarmante, casi la mitad de todos los incidentes (46%) tenían como objetivo robar o filtrar datos de organizaciones de salud.

Impacto y lecciones aprendidas por la pandemia de COVID-19. Es esencial tener en cuenta que el período del informe coincidió con una parte significativa de la era de la pandemia de COVID-19, durante la cual el sector de la salud se convirtió en un objetivo principal para los atacantes. Los actores de amenazas motivados financieramente, impulsados por el valor de los datos de los pacientes, fueron responsables de la mayoría de los ataques (53%). La pandemia vio múltiples casos de fuga de datos de sistemas y laboratorios de pruebas relacionados con COVID-19 en varios países de la UE. Las prácticas internas y de seguridad deficientes, incluidas las configuraciones erróneas, se identificaron como las causas principales de estas filtraciones. Los incidentes sirven como un claro recordatorio de la importancia de prácticas sólidas de ciberseguridad, particularmente en tiempos de necesidades operativas urgentes.

Vulnerabilidades en los sistemas sanitarios. Los ataques a las cadenas de suministro de atención médica y a los proveedores de servicios provocaron interrupciones o pérdidas para las organizaciones de salud (7%). Se espera que este tipo de ataques sigan siendo significativos en el futuro, dados los riesgos planteados por las vulnerabilidades en los sistemas de salud y los dispositivos médicos. Un estudio reciente de ENISA reveló que las organizaciones sanitarias informaron del mayor número de incidentes de seguridad relacionados con vulnerabilidades en software o hardware, con el 80% de los encuestados citando vulnerabilidades como la causa de más del 61% de sus incidentes de seguridad.

Desarrollos geopolíticos y ataques DDoS. Los desarrollos geopolíticos y la actividad hacktivista llevaron a un aumento en los ataques de denegación de servicio distribuido (DDoS) por parte de grupos hacktivistas prorrusos contra hospitales y autoridades sanitarias a principios de 2023, lo que representa el 9% del total de incidentes. Si bien se espera que esta tendencia continúe, el impacto real de estos ataques sigue siendo relativamente bajo.

Los incidentes examinados en el informe tuvieron consecuencias significativas para las organizaciones de salud, lo que resultó principalmente en violaciones o robo de datos (43%) interrumpió los servicios de atención médica (22%) e interrumpió los servicios no relacionados con la atención médica (26%). El informe también destaca las pérdidas financieras sufridas, con un coste medio de un incidente de seguridad importante en el sector sanitario estimado en 300.000 euros, según el  estudio ENISA NIS Investment 2022.

La seguridad del paciente surge como una preocupación primordial para la comunidad de la salud, dados los posibles retrasos en el triaje y el tratamiento causados por incidentes cibernéticos.

Nuevo informe del Grupo de Cooperación de los NEI
El  Grupo de Cooperación NIS publica hoy su informe sobre "Amenazas y gestión de riesgos en el sector de la salud – Bajo la Directiva NIS". Como primera evaluación de las medidas actualmente en vigor, el estudio arroja luz sobre los diferentes desafíos de ciberseguridad en la mitigación de riesgos a los que se enfrenta el sector sanitario de la UE. Junto con taxonomías de amenazas relevantes y datos de incidentes cibernéticos, el informe revela recomendaciones de continuidad y mitigación del negocio para limitar la probabilidad y los impactos de un incidente relacionado con el ciberespacio.

Los antecedentes y algo más de información
Los informes sobre el panorama de amenazas de ENISA mapean el panorama de las amenazas cibernéticas para ayudar a los responsables de la toma de decisiones, los responsables políticos y los especialistas en seguridad a definir estrategias para defender a los ciudadanos, las organizaciones y el ciberespacio.

El contenido del informe se recopila de fuentes abiertas, como artículos de medios, opiniones de expertos, informes de inteligencia, análisis de incidentes e informes de investigación de seguridad; así como a través de los miembros del Grupo de Trabajo sobre Ciberamenazas de ENISA (CTL Working Group).

El análisis y las opiniones del panorama de amenazas de ENISA pretenden ser neutrales entre la industria y los proveedores. La información basada en OSINT (Open-Source Intelligence) y el trabajo de ENISA sobre Conciencia Situacional también ayudaron a documentar el análisis presentado en el informe.