Ciberdelincuentes se ensañan con sistemas médicos.
L
a vida cotidiana de las personas se sigue complicando con los ataques cibernéticos. También la de las empresas y otras organizaciones. En Estados Unidos, por ejemplo, el Departamento de Seguridad Nacional (DHS) revela que hay 16 sectores que poseen infraestructura crítica. Es decir, que sus activos, sistemas y redes, sean físicos o virtuales, son tan vitales para Norteamérica que su incapacidad o destrucción debilitarían la seguridad nacional, económica o pública.
El informe Amenazas para infraestructuras críticas: la dimensión de Internet elaborado por los investigadores Cameron Carp y Stephen Cobb, hace referencia a las instalaciones químicas, comerciales, comunicaciones, fabricación, represas, bases industriales de defensa, servicios de emergencia, energía, servicios financieros, alimentación y agricultura, instalaciones gubernamentales, salud pública, tecnología de la información, reactores, materiales y residuos nucleares, sistemas de transporte, sistemas de agua y agua residual.
A principios del año 2016, WeLiveSecurity publicó el análisis que hizo Anton Cherepanov sobre Black Energy, un código malicioso que fue usado en el año 2015 en los ataques contra las empresas eléctricas ucranianas, de los que se derivaron cortes de luz por varias horas para miles de hogares.
Es probable que la seguridad de la industria de la salud se convierta en el foco de atención; pero también puede ser un modelo de cambio positivo, en la medida que el Internet de las Cosas se abre paso en los hogares y lugares de trabajo.
Los ciberdelincuentes usaron el correo electrónico y otras formas de conectividad por Internet para ingresar a las computadoras en las redes. La falta de impedimentos efectivos permitió el acceso, a través de Internet, a las aplicaciones que controlan remotamente la distribución de electricidad. Para el investigador de ESET Robert Lipovsky los ataques fueron también una posible prueba para planificar ataques futuros.
El incidente implicó una serie de grandes ataques de DDoS para hacer uso de millones de dispositivos conectados a internet con el objetivo de llegar a los servidores de una empresa llamada Dyn, que proporciona el Servicio de Nombres de Dominio (DNS) a muchas empresas estadounidenses conocidas.
DNS es la “libreta de direcciones” para Internet. Un sistema para asegurarse de que las solicitudes de información en Internet se entreguen al host correcto (servidor, equipo portátil, tableta, smartphone, entre otros). El efecto de los ataques fue impedir o retrasar el tráfico a sitios web, servidores de contenido de Internet y otros servicios, como el correo electrónico.
Ocasionaron una reacción en cadena que afectó a un porcentaje significativo de empresas comerciales de Estados Unidos, a pesar que no eran el blanco directo. Por ejemplo, la interrupción en el tráfico de la tienda web de una empresa que vende software. Las páginas no se cargaron correctamente porque dependían de una red de distribución de contenido que era temporalmente inaccesible.
Incluso cuando algunos clientes completaron sus compras online, no lograron llegar al servidor de contenido para descargar el producto que acababan de comprar. Otros no pudieron activar su compra porque el servidor de licencias de software agotó el tiempo de espera.
Los clientes, frustrados, enviaron un correo electrónico a la empresa. Las líneas telefónicas de atención al cliente empezaron a sonar. Se cambió el saludo inicial del contestador automático de la empresa para informar sobre la situación. Las campañas de anuncios online y las compras por palabras clave en motores de búsqueda se suspendieron para ahorrar dinero. Aunque se perdieron ingresos.
UN PANORAMA PREOCUPANTE
Actualmente, los cibercriminales están interesados en atacar datos y sistemas médicos, y es probable que esta tendencia sea global, afirman Cameron Carp y Stephen Cobb.
“Sabemos que hay en marcha muchos esfuerzos en diferentes países con el objetivo de mejorar la seguridad cibernética de los sistemas que apoyan la infraestructura crítica. En Estados Unidos, hay 24 Centros de Intercambio y Análisis de Información (ISAC) que cubren la mayoría de los aspectos de los 16 sectores y que proporcionan canales de comunicación e intercambio de conocimientos en materia de seguridad cibernética”, exponen.
En septiembre pasado, el Industrial Internet Consortium publicó un proyecto de seguridad para la industria del Internet de las Cosas y así llegar a un consenso generalizado sobre cómo proteger este sector en rápido crecimiento.
“Los detalles de los daños monetarios varían de una organización a otra; pero la probabilidad de ser víctima de un ataque es actualmente muy alta para todos los sectores y tamaños de empresas.”
Lysa Myers | Security researcher
“Esperamos sinceramente que esfuerzos como este, y otros en todo el mundo, obtengan el respaldo y los recursos que necesitan para tener éxito. Sin embargo, para que esto suceda hará falta mucho más que buenas intenciones. Incluso podría requerir la presión política de la gente más propensa a sufrir los ataques cibernéticos a la infraestructura crítica: el electorado”.
Los autores hacen referencia al proyecto de Ley para otorgarle más poder al Gobierno estadounidense con el objetivo de resguardar la red eléctrica ante ciberataques. “Fue un éxito”.
“A medida que el paisaje global se vuelve cada vez más interconectado e interdependiente (superando las fronteras políticas, físicas e ideológicas), nos espera una mezcla interesante y compleja de reacciones políticas y sociales de los Estados-Nación que ahora necesitan luchar con las implicaciones de un ataque a dicha infraestructura crítica y que, de ocurrir, necesitarán tener preparada una respuesta defensiva y/u ofensiva apropiada”, expresan.
De su lado Lysa Myers, security researcher, expone en su informe IoT y ransomware en el sector de la salud: la punta del iceberg que las filtraciones de datos de Anthem y Premera que ocurrieron el año pasado provocaron que el público general tomara más consciencia sobre la relevancia de la seguridad en las organizaciones de la industria de la salud.
Aunque el año pasado registró un menor número de casos de brechas masivas en el sector, lamentablemente esto no significa que el problema haya sido resuelto. De hecho, hubo un exceso de ataques de ransomware exitosos a una gran variedad de industrias, entre las que los centros de salud fueron un blanco particular atractivo.
Si a ello se suma la mayor cantidad de dispositivos médicos conectados a Internet y aquellos para monitorear la actividad física, todo indica que el sector sanitario seguirá con desafíos de seguridad importantes en el futuro.
“El ransomware es solo la punta del iceberg. Se podría pensar en la creciente ola de ransomware como un problema en sí mismo. Si bien está causando grandes dolores de cabeza y pérdidas monetarias, su éxito es síntoma de un problema aún mayor”.
Cuando se descubrieron las primeras variantes, muchos expertos en seguridad no tomaron el problema tan en serio porque consideraban que los ataques podían ser frustrados fácilmente. Incluso cuando el archivo de malware en sí no se llega a detectar antes de la ejecución.
“En este caso, para evitar pagar el rescate, la víctima solo debe restaurar el sistema desde sus backups. Pero, lamentablemente, cuando se trata de seguridad práctica, las medidas de protección a menudo no se aplican de la forma en que la comunidad de seguridad esperaría. A muchos les puede parecer al principio que es más costoso restaurar el sistema desde los backups que pagando el pedido de rescate”.
Evaluar en forma exhaustiva los riesgos y mejorar la postura global de seguridad de una organización, institución o empresa reduce significativamente la frecuencia y la gravedad de todo tipo de problemas de seguridad.
DESCUIDOS
Algunas empresas directamente no hacen backups periódicos. Los productos de seguridad diseñados para detectar correos electrónicos, archivos, tráfico o enlaces maliciosos pueden estar configurados de manera incorrecta.
“A veces ni siquiera se usan productos de seguridad. Las estrategias de creación de backups pueden estar mal implementadas, de modo que las copias de seguridad también son vulnerables. Los usuarios pueden desactivar sus productos de seguridad o deshabilitar ciertas funciones si consideran que dichas medidas les impiden hacer su trabajo. Más allá de la causa, el resultado final es que las empresas afectadas pueden sentir que deben pagarles a los criminales con la esperanza de recuperar sus datos”, señala Lysa Myers.
Sostiene que en las instituciones sanitarias, donde el acceso rápido a los datos puede ser una cuestión de vida o muerte, el costo de ser atacado por el ransomware crece considerablemente. “Los delincuentes lo saben y están apuntando en forma deliberada a las organizaciones médicas”.
Revertir esta tendencia requiere algunas acciones simples; pero potentes. Sin embargo, si se logra establecer una base sólida de seguridad, hay capacidad de reducir los efectos de futuras amenazas de malware como los riesgos que conlleven las nuevas tecnologías.
¿Cómo evitar ciberataques a dispositivos médicos?
Los fabricantes de dispositivos médicos para uso personal o de hospitales tienen la oportunidad de cambiar la tendencia negativa de ataques cibernéticos. Hay varias medidas para hacerlos más seguros:
- Diseñar teniendo en cuenta la privacidad.
- Cifrar datos, tanto los guardados en disco como los que están en tránsito.
- Dar a los usuarios la capacidad de almacenar localmente los datos monitoreados, en vez de que tengan que dejarlos en la nube.
- Autenticar el acceso a las cuentas. Verificar que los usuarios sean quienes dicen ser.
- Crear un mecanismo de protección integrado en caso de fallas.
- Asumir que el código se puede llegar a usar con fines maliciosos. El código legítimo puede manipularse para que el dispositivo ejecute código no autenticado.
- Prepararse para vulnerabilidades. Hay que establecer y publicar una política de revelación responsable para informar las vulnerabilidades.
- Elaborar un plan de respuesta a incidentes para reaccionar correctamente en caso de una fuga de datos.
- Prepararse para el escrutinio gubernamental. Hay diversas organizaciones, como la Comisión Federal de Comercio (FTC) y la Administración de Alimentos y Drogas (FDA) en Estados Unidos, que monitorean de cerca el ámbito de los dispositivos médicos, por lo que implementar cambios ahora puede ayudar a evitar problemas legales y multas considerables en el futuro.
