Los ciberdelincuentes buscan información personal para utilizarla en su propio beneficio y el sector sanitario no se encuentra al margen. De hecho, las organizaciones relacionadas con la salud están sufriendo un incremento constante de ciberataques debido, precisamente, a la cantidad y calidad de los datos privados que manejan.  

Según un estudio llevado a cabo por ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, la mitad de las organizaciones sanitarias (48%) ha sufrido algún incidente relacionado con la pérdida o la filtración de información sobre pacientes en el último año; y una cuarta parte de la muestra afirma que ni siquiera sabe si ha sufrido este tipo de incidentes.  

Las organizaciones sanitarias cuentan con datos e información confidencial que debe ser salvaguardada por ley. Un mal uso de la información de los pacientes o la caída de los sistemas puede no solo poner en peligro datos reservados, sino incluso la vida de los pacientes. En cualquier caso, los peligros que más acechan a sus organizaciones son, según los encuestados: fallos del sistema (79%), dispositivos médicos no seguros (77%), ciberataques (77%), dispositivos móviles de los trabajadores (política del denominado “BYOD”) (76%), robos de identidad (73%) o dispositivos móviles no seguros (72%). A pesar de que se citen los dispositivos móviles como uno de los elementos más problemáticos de sus estrategias de seguridad, sólo el 27% de los profesionales encuestados confirman que cuentan con una política de seguridad para este tipo de aparatos.  

Las organizaciones que han respondido al estudio sufren de media 11,4 ataques al año, es decir, aproximadamente uno al mes; sin embargo, el 13% no es consciente de la cantidad de ataques que ha sufrido. Por su parte, la encuesta revela que los centros médicos reciben ataques avanzados persistentes (APTs) cada tres meses, de media.

Según el 78% de los profesionales que participaron en el estudio, el incidente de seguridad más común es el derivado de vulnerabilidades del software que utilizan sin actualizar, seguido muy de cerca por los ataques de malware procedentes de webs infectadas. Además, el 49% de los encuestados confirma que ha experimentado situaciones complicadas cuando los ciberdelincuentes han sido capaces de traspasar sus sistemas de prevención de intrusiones, mientras que el 27% desconoce ese dato. Por su parte, el 37% de los profesionales preguntados aseguran que los delincuentes han sido capaces de saltarse sus soluciones antivirus o controles de seguridad tradicional (el 25% desconoce si ha ocurrido ataques de ese tipo).

Los costes derivados de un ataque de denegación de servicio ocasionan pérdidas por valor de 1,16 millones de euros de media al año, debido principalmente a la interrupción de los servicios y/o a la caída de los sistemas. Tan sólo el 50% de las empresas relacionadas con la sanidad afirma que cuenta con un plan de respuestas ante incidentes acorde con sus necesidades. En el plan suele incluirse al consejo asesor de la compañía y al responsable de seguridad.

La amenaza más preocupante es un fallo en el sistema. Los profesionales aseguran que las tres amenazas que más les preocupan en cuanto a la seguridad de su organización son los fallos en los sistemas (79%), los ciberataques capaces de provocar que los dispositivos médicos funcionen incorrectamente (77%) y el uso de los dispositivos móviles personales por parte de los trabajadores (76%).