Los ciberdelincuentes están atacando la atención médica (pero podemos contraatacar)
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
La atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, en el que los delincuentes ataquen las mismas máquinas que diagnostican problemas médicos, brindan tratamientos y mantienen la vida.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Tabla de contenido
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
