Seguridad de los historiales médicos electrónicos: los datos de los pacientes, la HIPAA y las amenazas que el sector sanitario no puede permitirse ignorar

¿Qué son los historiales médicos electrónicos y por qué son importantes?

Los historiales médicos electrónicos (EHR) son la representación digital del historial médico de los pacientes. Estos registros digitales, seguros y en tiempo real, incluyen la medicación, los diagnósticos, los resultados de análisis y las pruebas de imagen.

Los EHR permiten que la asistencia sanitaria moderna proteja y comparta la información relacionada con los pacientes entre los profesionales sanitarios autorizados, como los médicos de cabecera, los especialistas y los laboratorios. Estos registros tienen como objetivo mejorar la coordinación, la seguridad y la calidad de la asistencia sanitaria.

¿Qué es exactamente un EHR y en qué se diferencia de un EMR?

Un historial médico electrónico (EMR) representa digitalmente el historial médico y de tratamiento de los pacientes dentro de una misma consulta. Resulta útil para los profesionales sanitarios que lo han creado. Sin embargo, no está diseñado para acompañar al paciente.

Un historial médico electrónico (EHR) está diseñado para acompañar al paciente a lo largo de múltiples entornos sanitarios, desde un médico de atención primaria hasta un centro de rehabilitación. Los EHR incluyen datos procedentes de más de una fuente, y los profesionales sanitarios autorizados pueden acceder a ellos.

Por lo tanto, un EHR tiene un valor clínico, pero puede resultar peligroso cuando falla la seguridad, ya que expone el historial médico completo de los pacientes. Un EMR es menos peligroso en este sentido, ya que incluye registros de una sola consulta.

¿Qué tipos de datos de los pacientes se almacenan en los EHR?

Un EHR suele contener datos demográficos y de identificación, entre los que se incluyen:

• Nombre completo
• Fecha de nacimiento
• Dirección
• Número de la Seguridad Social
• Identificadores del seguro

Contiene datos clínicos, tales como diagnósticos, medicaciones, alergias, registros de vacunación, resultados de laboratorio, estudios de imagen, historiales quirúrgicos y notas clínicas detalladas redactadas por cada profesional sanitario que haya tratado al paciente.

Un EHR también incluye información financiera, como detalles de la cobertura del seguro, registros de facturación e historiales de pago. Además, en un EHR también se pueden encontrar datos conductuales y sociales, tales como notas sobre el consumo de sustancias, el estado de salud mental, las circunstancias familiares y los determinantes sociales de la salud que subyacen a las decisiones clínicas.

Se puede cancelar una tarjeta de crédito robada o perdida, pero no se puede decir lo mismo de una tarjeta sanitaria. Por eso, un EHR tiene un gran valor para los delincuentes.

¿Por qué son fundamentales los EHR para la prestación moderna de la asistencia sanitaria y los resultados de los pacientes?

Los EHR son herramientas administrativas y, al mismo tiempo, desempeñan un papel esencial en la toma de decisiones clínicas, lo que repercute en la seguridad y los resultados de los pacientes.

Por ejemplo, la información completa y precisa sobre la medicación que figura en un EHR es la base para la comprobación de interacciones farmacológicas. Además, el acceso a los historiales de alergias facilita las alertas de alergia. Por otra parte, los resultados de las pruebas de imagen en tiempo real disponibles en un EHR son fundamentales para las herramientas de apoyo a la toma de decisiones diagnósticas. Por último, la coordinación asistencial se basa en una visión compartida y actualizada del estado clínico de los pacientes.

Cuando los sistemas de los profesionales sanitarios pierden el acceso a los sistemas de HCE debido a ataques de ransomware o a fallos del sistema, las operaciones clínicas en papel se vuelven más lentas, más propensas a errores y menos seguras.

Como resultado, los resultados de pruebas críticas pueden retrasarse, la coordinación asistencial puede verse mermada y pueden aumentar los errores de medicación. Por lo tanto, unos sistemas de HCE seguros garantizan la seguridad de los pacientes.

¿Qué riesgos de seguridad y privacidad amenazan a los sistemas de HCE y a los datos de los pacientes?

El sector sanitario se enfrenta a amenazas como el phishing, los ataques de ransomware, la negligencia y las vulnerabilidades de terceros. Estas brechas pueden perturbar los sistemas sanitarios, causar pérdidas económicas y dar lugar a graves violaciones de la privacidad de los pacientes.

¿Cuáles son las ciberamenazas más comunes para las HCE: ataques de extorsión en el ámbito sanitario, phishing o amenazas internas?

El phishing sigue siendo uno de los vectores de ataque iniciales más frecuentes en los incidentes de seguridad del sector sanitario, debido a una plantilla numerosa y diversa que se encuentra bajo una presión de tiempo constante. Por ejemplo, los piratas informáticos pueden enviar un correo electrónico de phishing a una enfermera jefa de planta durante un turno ajetreado, y esta puede responderlo sin el debido escrutinio de seguridad.

Las amenazas internas, ya sean deliberadas o involuntarias —como el robo con ánimo de lucro y el uso de contraseñas débiles—, difieren estructuralmente de los ataques externos. Por ejemplo, las organizaciones sanitarias cuentan con miles de empleados que disponen de un acceso legítimo y amplio a los historiales de los pacientes.

Estos empleados pueden acceder sin autorización, ya sea por curiosidad o por motivos económicos. En este caso, los controles de acceso por sí solos no bastan para impedir dicho acceso. Solo una supervisión sofisticada del comportamiento puede detectar las amenazas internas.

Los ataques de terceros y a la cadena de suministro incluyen actualizaciones de software malicioso y herramientas de acceso remoto, así como la explotación de dispositivos médicos y del IoT o el Internet de las cosas en el ámbito sanitario (HIoT).

Estas amenazas van en aumento porque las organizaciones sanitarias dependen cada vez más de redes de proveedores de tecnología, como Epic y Cerner, y de proveedores de servicios. Estas organizaciones no siempre cuentan con controles rigurosos. Epic y Cerner son las principales plataformas de historias clínicas electrónicas (EHR).

¿Cómo se producen habitualmente las filtraciones de datos en entornos sanitarios?

Los entornos sanitarios gestionan enormes volúmenes de historiales físicos y operan en condiciones difíciles que a menudo carecen de medidas de seguridad sólidas. Los ordenadores portátiles, las memorias USB y los expedientes en papel son las principales fuentes de filtraciones.

Además, un proveedor, contratista o socio que maneje información sanitaria protegida también puede sufrir una filtración. En concreto, pueden atribuir la responsabilidad a la entidad sanitaria afectada en virtud de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), independientemente de si la propia entidad afectada tuvo culpa directa.

¿Cuáles son las consecuencias de la filtración de datos de los EHR para los pacientes y los proveedores?

El robo de identidad médica se produce cuando los atacantes utilizan credenciales robadas para obtener de forma fraudulenta servicios sanitarios, medicamentos o reembolsos del seguro. Esto puede dar lugar a historiales médicos corruptos con información falsa sobre tratamientos, medicamentos y diagnósticos.

Los historiales de pacientes con datos incorrectos sobre la medicación o un diagnóstico atribuido erróneamente suponen riesgos clínicos para los pacientes cada vez que reciben atención. Esto se debe a que los profesionales sanitarios toman decisiones teniendo en cuenta la información incorrecta incluida en dichos historiales.

El fraude a las aseguradoras provoca perjuicios económicos, lo que aumenta significativamente los gastos a cargo del paciente y las primas de los consumidores. Todo el ecosistema sanitario se ve perjudicado. Se agotan los recursos destinados a la atención legítima de los pacientes, por lo que las personas se enfrentan a riesgos médicos innecesarios.

La divulgación de diagnósticos sensibles, como la información relativa a la salud mental y reproductiva y al consumo de sustancias, causa daños a la reputación. El daño a la reputación reduce el volumen de pacientes, afecta a la contratación de médicos y disminuye la confianza de la comunidad.

En cuanto a las consecuencias normativas, las infracciones graves pueden acarrear sanciones pecuniarias civiles en virtud de la HIPAA por valor de millones de dólares y una investigación forense.

Lo que las organizaciones sanitarias suelen darse cuenta solo tras un incidente de seguridad

Las revisiones realizadas en el sector sanitario tras un incidente revelan que las organizaciones a menudo no tienen una imagen clara de su situación de seguridad.

Por qué los hospitales que cumplen técnicamente con la normativa siguen sufriendo brechas de seguridad

Incluso si un hospital supera una auditoría de la HIPAA y cumple todos los requisitos documentados, puede seguir siendo vulnerable a los ataques de ciberseguridad. Esto se debe a que la HIPAA establece requisitos mínimos sin especificar controles técnicos para una seguridad eficaz.

Por ejemplo, un hospital puede tener una política de contraseñas que cumpla los requisitos de control de acceso de la HIPAA, pero que los piratas informáticos modernos puedan eludir fácilmente.

Por qué el flujo de trabajo clínico suele prevalecer sobre la política de seguridad escrita

Si las políticas de seguridad, como una sólida autenticación multifactorial (MFA) y los controles de cierre de sesión automático, suponen un obstáculo, el flujo de trabajo clínico suele prevalecer sobre ellas. ¿Por qué? Porque si se exige el bloqueo automático de la estación de trabajo tras dos minutos de inactividad, resulta complicado para una enfermera que va de un paciente a otro desbloquear la pantalla más de una vez en un breve lapso de tiempo.

Las políticas de seguridad no deben pasar por alto las realidades del flujo de trabajo clínico. Al estar alejadas de la realidad, estas políticas no se cumplirán, lo que debilitará la protección de los datos.

Cómo las excepciones temporales se convierten en vulnerabilidades permanentes

Cuando una organización sanitaria comparte una cuenta creada durante una migración del sistema, dicha cuenta puede seguir activa tres años después. Además, cuando la organización habilita una regla de cortafuegos al conectarse con un proveedor durante una implementación, esta permanece activa. Por último, una autorización de acceso privilegiado concedida durante una emergencia nunca se revoca.

Así es como las organizaciones sanitarias gestionan las vulnerabilidades permanentes. Estas debilidades suelen convertirse en objetivos de ataque.

Por qué los fallos de seguridad en la protección de los historiales médicos electrónicos suelen ser operativos, no técnicos

El análisis posterior a los incidentes muestra que la mayoría de las brechas de seguridad en el sector sanitario se deben a condiciones operativas y no técnicas. En concreto, estas condiciones incluyen accesos que nunca se revocaron, excepciones que quedaron sin revisar, políticas que no se aplicaron y alertas de supervisión ante las que no se tomó ninguna medida.

Los controles técnicos representan la capacidad que puede implementarse y mantenerse de forma eficaz a través de controles operativos. Un hospital con tecnología de seguridad sofisticada sufrirá una brecha de seguridad debido a procesos operativos deficientes. Sin embargo, un hospital con una tecnología modesta y una sólida disciplina operativa estará protegido de forma segura.

Lo que los equipos de seguridad subestiman sobre los entornos sanitarios que funcionan las 24 horas del día, los 7 días de la semana

Consideremos los procesos de seguridad durante el horario laboral, como las revisiones de acceso y la respuesta ante incidentes. Estos son completamente diferentes en un hospital que funciona en tres turnos sin poder programar tiempos de inactividad para el mantenimiento del sistema sin una evaluación del impacto clínico.

Es posible que los equipos de seguridad disponibles durante el horario laboral no cuenten con una cobertura completa durante la noche y los fines de semana. Y los piratas informáticos sofisticados saben cómo aprovechar estas horas en su beneficio. Pueden acceder a la información que necesitan a las 2 de la madrugada de un sábado antes de que el equipo de seguridad sea alertado y responda.

¿Qué problemas de seguridad suelen descubrir las organizaciones sanitarias tras la implantación de los EHR?

La implantación de los EHR requiere enormes recursos, preparación y atención. Los problemas de seguridad a los que se enfrentan las organizaciones tras la implantación ponen de manifiesto la diferencia entre el comportamiento del sistema durante las pruebas controladas y su funcionamiento real en los sistemas sanitarios.

¿Por qué los sistemas seguros de historiales médicos electrónicos (EHR) siguen sufriendo incidentes de acceso no autorizado?

Los sistemas de historiales médicos electrónicos (EHR) se desarrollan con controles de acceso que no se ajustan necesariamente a la realidad clínica. Los permisos de acceso para los sistemas de control basados en roles suelen basarse en la función del puesto, que no siempre está definida con precisión en un entorno clínico. Por ejemplo, una enfermera del servicio de urgencias puede necesitar acceder a historiales que el rol estándar de enfermera no requiere.

Sin embargo, si se requiere un acceso más amplio para tomar una decisión pragmática, muchos usuarios necesitarán más acceso del que permiten sus responsabilidades clínicas. Y esto puede dar lugar a infracciones de los controles de acceso.

¿Qué atajos en los flujos de trabajo suelen debilitar la seguridad de la protección de los historiales médicos electrónicos en los hospitales?

Los atajos en los flujos de trabajo, también conocidos como soluciones alternativas, debilitan la seguridad de los datos de los pacientes en los hospitales al eludir las barreras de seguridad y exponer dichos datos. Los profesionales clínicos suelen utilizar atajos para ahorrar tiempo o evitar los diseños de las interfaces.

En concreto, las credenciales compartidas son los atajos de flujo de trabajo más habituales en los entornos de historias clínicas electrónicas (HCE) del sector sanitario.

Cuando los procesos de inicio de sesión suponen una dificultad debido a los múltiples pasos de autenticación, las contraseñas complejas o los tiempos de espera de las sesiones, el personal clínico recurre a soluciones alternativas, como las credenciales compartidas. O bien pueden dejar las sesiones abiertas, lo que permite a usuarios no autenticados acceder al sistema. Como resultado, los hospitales se enfrentan a fallos en la protección de la ciberseguridad de las historias clínicas.

¿Cómo generan riesgos ocultos las estaciones de trabajo compartidas y los entornos clínicos de ritmo acelerado?

Los miembros del personal de distintos turnos comparten estaciones de trabajo clínicas bajo presión de tiempo y centrándose principalmente en los pacientes en lugar de en las medidas de seguridad.

Las tecnologías de autenticación basadas en la proximidad, incluidas las tarjetas inteligentes, las tarjetas de proximidad y los lectores biométricos, ayudan a superar algunos retos. Sin embargo, conllevan sus propias complejidades operativas.

En concreto, los usuarios pueden perder sus tarjetas o dejarlas en los lectores. Además, las tecnologías biométricas no reconocen las manos cuando llevan guantes o están mojadas. Estos fallos provocan fricciones operativas, lo que da lugar a soluciones provisionales.

¿Qué brechas de seguridad solo se hacen evidentes durante las operaciones sanitarias reales?

Los retrasos que generan presión para recurrir a soluciones provisionales, la dificultad para mantener registros completos bajo la carga de producción y las limitaciones operativas constituyen brechas de seguridad. Estas se hacen evidentes cuando el sistema funciona a plena capacidad clínica. Estas brechas de seguridad no son evidentes durante las pruebas controladas.

El motivo es que los sistemas de autenticación pueden funcionar sin problemas durante las pruebas. Los sistemas de registro de auditoría que capturan los accesos pueden funcionar sin dificultades en las pruebas. Por último, los controles de seguridad pueden parecer sólidos en condiciones controladas.

¿Qué suelen tener en común los fallos de seguridad en la protección de los historiales médicos electrónicos en el mundo real?

Los privilegios de acceso excesivos son un factor recurrente en muchos incidentes de seguridad en el ámbito sanitario. Nunca se revisan y aparecen en los registros de acceso. Concretamente, el pirata informático obtiene acceso al sistema y a los datos como titular legítimo de una cuenta. Una vez que el acceso se consideró legítimo, nunca se revisó posteriormente.

La detección tardía es otro fallo muy extendido. Por lo general, se tarda semanas o meses en detectar una brecha tras el acceso inicial. Y esto es tiempo suficiente para que los atacantes localicen y preparen los datos objetivo y se dispongan a cifrarlos.

Además, las copias de seguridad no comprobadas no son fiables. Los datos de copia de seguridad cuya integridad no se ha validado se restauran a un estado desactualizado.

Un proveedor que utilice credenciales legítimas de acceso remoto, pero con una cuenta no supervisada, puede convertirse en el punto de entrada de un ataque. Los propios controles perimetrales del hospital habrían protegido los datos.

Además, los planes de respuesta ante incidentes redactados en papel suelen ser guías inadecuadas para la respuesta real en la vida cotidiana. El personal clave suele no estar disponible. La información de contacto no suele estar actualizada.

¿Cómo afectan la HIPAA y las Normas de Portabilidad y Responsabilidad del Seguro Médico a la seguridad de los datos de los pacientes?

Debido a la HIPAA y a la normativa federal asociada, las organizaciones sanitarias deben implementar medidas de seguridad administrativas, físicas y técnicas exhaustivas, tales como el cifrado, los controles de acceso basados en roles y los registros de auditoría. Como resultado, estas organizaciones pueden proteger los datos sanitarios y garantizar la confidencialidad de la información sanitaria protegida electrónica (ePHI).

¿Cómo protegen la HIPAA y la Ley de Portabilidad y Responsabilidad de los Seguros los datos de los pacientes?

La Norma de Privacidad de la HIPAA establece normas nacionales para proteger los historiales médicos de los pacientes y otra información sanitaria. Asimismo, esta norma establece planes de salud y centros de intercambio de información sanitaria para el uso y la divulgación de dicha información.

Según la Norma, la información sanitaria protegida (PHI) es aquella información sanitaria identificable individualmente que las organizaciones sanitarias mencionadas o sus asociados conservan y transmiten.

Estas entidades deben implementar medidas de seguridad administrativas, físicas y técnicas para garantizar que la información sea confidencial, esté integrada y sea accesible.

La Norma de Seguridad incluye los elementos principales de la Norma de Seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996¹ (HIPAA). Se refiere a los pacientes cubiertos, a la información protegida y a las medidas de seguridad que garantizan la protección adecuada de la información sanitaria protegida electrónica (ePHI).

La Norma de Seguridad se centra en los resultados, como el cumplimiento por parte del personal y la protección frente a amenazas previstas. No impone enfoques técnicos específicos, como el control de acceso y el cifrado.

La Norma de Notificación de Violaciones establece los plazos en los que las entidades mencionadas deben notificar a las personas afectadas, al Secretario del HHS y, en algunos casos, a los medios de comunicación, cualquier violación de la PHI que haya quedado desprotegida. El incumplimiento de estos requisitos constituye una infracción independiente de la HIPAA.

¿Qué medidas de seguridad se requieren para proteger la información sanitaria?

La Norma de Seguridad de la HIPAA clasifica las medidas de protección necesarias en tres tipos. En primer lugar, las medidas de protección administrativas se refieren a las políticas, los procedimientos y la formación que las organizaciones deben aplicar para gestionar la seguridad de la ePHI.

En segundo lugar, las organizaciones deben aplicar medidas de protección físicas para controlar el acceso físico a los sistemas de información electrónicos y a las instalaciones utilizadas. Estas medidas pueden incluir controles de acceso a las instalaciones, controles de dispositivos y soportes, así como políticas de uso y seguridad de las estaciones de trabajo.

Por último, las medidas de seguridad técnicas se refieren a la tecnología y a las políticas asociadas que protegen la ePHI y controlan el acceso a la misma. Estas medidas pueden incluir controles de acceso, integridad y auditoría, así como la seguridad de la transmisión.

¿Cómo pueden las organizaciones sanitarias demostrar el cumplimiento de la HIPAA durante las auditorías de seguridad?

El cumplimiento de la HIPAA exige a las organizaciones sanitarias una documentación exhaustiva y actualizada. Los auditores examinan no solo la documentación sobre políticas y procedimientos, sino también las pruebas que demuestren que dichas políticas se aplican y se hacen cumplir.

La Norma de Seguridad exige a las entidades mencionadas anteriormente que lleven a cabo una evaluación de riesgos precisa y exhaustiva en relación con la confidencialidad, la integridad y la disponibilidad de la ePHI. Estas entidades deben documentar y demostrar el análisis de riesgos basándose en el entorno actual y elaborar el correspondiente plan de gestión de riesgos.

El cumplimiento de la HIPAA incluye registros de formación del personal, controles de acceso y registros de auditoría, así como acuerdos con socios comerciales y documentación sobre la respuesta a incidentes. Esta práctica operativa continua ayuda a las organizaciones sanitarias a superar con éxito una auditoría y a garantizar una seguridad adecuada.

Lo que suelen pasar por alto las auditorías de seguridad

Las auditorías de seguridad suelen pasar por alto vulnerabilidades provocadas por el factor humano, como el uso compartido de credenciales de acceso y la ingeniería social. Asimismo, a menudo pasan por alto errores de configuración del sistema, como permisos de usuario demasiado amplios y la ausencia de registros de auditoría. Por último, con frecuencia pasan por alto riesgos relacionados con terceros, como integraciones de API no verificadas e infracciones en la cadena de suministro de los proveedores.

Veamos qué aportan las auditorías de seguridad:

Por qué superar una auditoría de seguridad no garantiza la protección de los registros sanitarios electrónicos

Una auditoría de seguridad no evalúa de forma exhaustiva si los controles de seguridad funcionan eficazmente frente a amenazas realistas. Concretamente, una auditoría puede confirmar que una organización ha establecido y documentado una política de contraseñas. Sin embargo, no puede determinar de forma fiable si todos los sistemas y usuarios cumplen sistemáticamente dicha política.

Asimismo, una auditoría puede confirmar que existe un acuerdo de colaboración empresarial adecuado. Pero la auditoría no puede determinar si los requisitos de seguridad especificados en el acuerdo se aplican realmente.

Brechas de cumplimiento frente a la realidad operativa

El marco de cumplimiento se centra en la existencia de controles, mientras que la seguridad operativa se centra en si dichos controles funcionan correctamente.

Es posible que las organizaciones que utilizan los registros de auditoría como recurso técnico no los revisen con frecuencia o con el nivel de detalle adecuado para detectar actividades anómalas.

En cuanto a los controles de acceso, pueden estar documentados en la política, pero no aplicarse de forma coherente. Además, los procedimientos de respuesta ante incidentes pueden estar documentados, pero carecer de las pruebas o actualizaciones adecuadas para adaptarse a las estructuras organizativas y la información de contacto existentes.

Por qué las evaluaciones anuales no detectan las amenazas en constante evolución

Cuando una organización lleva a cabo una evaluación una vez al año, esta refleja la situación de seguridad de la organización en ese día concreto. Sin embargo, pueden surgir nuevas vulnerabilidades y amenazas durante los otros 364 días del año. Por lo tanto, las evaluaciones de riesgo periódicas no pueden reflejar adecuadamente la situación de seguridad de las organizaciones.

El problema de los programas de seguridad basados en casillas de verificación

Los programas de seguridad centrados en completar listas de verificación de cumplimiento exigen a las organizaciones que documenten todos los controles y procesos requeridos, lo cual resulta satisfactorio para los auditores. Sin embargo, no garantizan necesariamente una seguridad adecuada.

Los programas de seguridad basados en casillas de verificación proporcionan una respuesta predecible de la organización a los requisitos de cumplimiento sin medir los resultados de seguridad.

Un programa de seguridad adecuado no debería limitarse a documentar y recopilar pruebas. Debería detectar amenazas y responder en consecuencia sin dedicar la mayor parte de su valioso tiempo a actividades de cumplimiento.

En qué se diferencia el comportamiento real de los atacantes de las hipótesis de auditoría

Cuando una organización sanitaria lleva a cabo auditorías de seguridad para evaluar los controles frente a modelos de amenazas documentados, es posible que no obtenga una visión completa de cómo operan los atacantes reales. Estas auditorías ayudan a comprobar si los controles de acceso pueden impedir el uso indebido del acceso por parte de usuarios sin credenciales.

Pero, ¿y si no existiera ninguna razón clínica para prestar atención a un acceso indebido? ¿Cómo lo detectaría el análisis de comportamiento? De hecho, estas auditorías no examinan si la organización puede restaurar con éxito esas copias de seguridad dentro del plazo que requeriría la recuperación tras un ataque de cifrado de datos.

Los atacantes reales se centran en debilidades específicas de un entorno concreto. No se centran en los escenarios de amenaza que prevén los marcos de cumplimiento normativo.

¿Qué medidas de seguridad ayudan a proteger la información sanitaria en los sistemas de historias clínicas electrónicas?

Las organizaciones sanitarias deben aplicar un modelo de defensa en varias capas para proteger la información sanitaria en los sistemas de historias clínicas electrónicas. El modelo debe basarse en medidas de seguridad técnicas, administrativas y físicas.

¿Cómo pueden el cifrado y los controles de seguridad de los datos proteger los datos de los pacientes?

La protección de la ePHI frente al acceso no autorizado considera el cifrado como un control técnico. Concretamente, el cifrado en reposo se refiere a bases de datos, sistemas de archivos y soportes de copia de seguridad. Garantiza que la información almacenada no pueda transformarse en datos legibles.

En cuanto al cifrado en tránsito, protege los datos que se transfieren entre sistemas, usuarios y organizaciones. Esto ayuda a evitar la interceptación y la lectura de la PHI.

Lamentablemente, la protección puede verse limitada debido a algoritmos obsoletos, longitudes de clave insuficientes o una gestión deficiente del almacenamiento de claves utilizadas en el cifrado. Por lo tanto, los proveedores de asistencia sanitaria necesitan estándares criptográficos sólidos y actualizados, y deben revisar y actualizar periódicamente las implementaciones de cifrado.

Además, si los proveedores supervisan la actividad de las bases de datos, pueden disfrutar de una capa adicional de control. Como resultado, pueden detectar accesos no autorizados incluso si dichos accesos se realizan mediante credenciales legítimas y derechos de descifrado.

¿Qué papel desempeñan el control de acceso y la autenticación fuerte? ¿Son suficientes el acceso multifactorial y el basado en roles?

El control de acceso basado en roles (RBAC) desempeña el papel más importante en la gestión del acceso a las historias clínicas electrónicas (EHR). Esto se debe a que su marco sistemático permite a los usuarios acceder únicamente a los datos que requiere su función clínica.

La autenticación multifactorial (MFA) mejora significativamente la seguridad de la autenticación en comparación con el acceso basado únicamente en contraseñas, ya que en este sector son habituales las credenciales compartidas y la autenticación mínima. Un atacante que utilice el phishing o el robo de credenciales para obtener una contraseña tiene que comprometer un segundo factor para autenticarse.

El RBAC controla a qué datos pueden acceder los usuarios sin controlar cómo utilizan ese acceso tras la autenticación. La MFA verifica que una persona que dispone de los factores de autenticación está intentando iniciar sesión, sin verificar que dicha persona sea el titular legítimo de la cuenta.

Ambos controles son fundamentales para proteger la información sanitaria. No obstante, también deberían aplicarse capas adicionales, como la supervisión del comportamiento y la detección de anomalías.

La autenticación multifactorial en el sector sanitario: ventajas frente a inconvenientes

¿Cómo pueden la segmentación de redes, las API seguras y la protección de terminales mitigar las amenazas?

La segmentación de redes restringe el movimiento lateral que se produce tras una intrusión inicial. En una red plana, los sistemas se comunican libremente. Los piratas informáticos, una vez que han accedido al sistema, pueden explorar y atacar los sistemas adyacentes para llegar al objetivo.

En el caso de las redes segmentadas, los piratas informáticos deben superar controles adicionales en cada límite de segmento. Esto ralentiza su avance, genera actividad detectable y limita el alcance de los daños derivados de cualquier intrusión concreta.

Las redes sanitarias presentan retos específicos en materia de segmentación, ya que los entornos clínicos utilizan una tecnología diversa, que incluye sistemas informáticos tradicionales y dispositivos clínicos de IoT.

Una segmentación eficaz se basa en comprender que estos entornos tienen una naturaleza diversa. Además, los límites de los segmentos entre los componentes más vulnerables de las redes deben diseñarse de tal forma que el flujo de trabajo clínico no se vea interrumpido.

En cuanto a la seguridad de las API, su importancia está creciendo en todo el mundo. Las interfaces de los sistemas de historias clínicas electrónicas (EHR) deben estar bien protegidas, ya que gestionan herramientas y procesos críticos, incluidas las herramientas de toma de decisiones clínicas y los intercambios externos de información sanitaria.

Dado que los puntos finales de las API son un objetivo para los piratas informáticos, pueden protegerse mediante controles de autenticación y autorización, así como limitando la frecuencia de acceso, validando los datos introducidos y manteniendo bajo control los patrones de acceso anómalos.

La protección de los puntos finales de las API es una práctica de seguridad fundamental. Protege las URL digitales específicas y los puntos de contacto de comunicación en los que las aplicaciones intercambian datos y funcionalidades. Una protección eficaz de los puntos finales implica proteger tanto la capa de acceso como el diseño central de la aplicación.

¿Cuál es el valor del registro, la supervisión y la gestión de información y eventos de seguridad (SIEM)?

La HIPAA exige un registro de auditoría exhaustivo del acceso a la ePHI, lo que también constituye una capacidad de seguridad fundamental. Los registros ayudan a detectar el uso indebido de los accesos, investigar incidentes, demostrar el cumplimiento normativo y comprender cómo actúan los piratas informáticos tras una brecha de seguridad.

Las organizaciones sanitarias pueden beneficiarse de los registros si estos se recopilan y se supervisan. Y es que es la capacidad analítica la que permite obtener inteligencia de seguridad a partir de los registros en tiempo real.

En el sector sanitario, la gestión de información y eventos de seguridad (SIEM) ayuda a diferenciar los patrones de acceso clínico normales de los accesos anómalos.

¿Qué políticas de seguridad de la información respaldan la seguridad de los historiales médicos electrónicos?

Las políticas eficaces de protección de la seguridad de los datos de los pacientes, tales como las medidas de seguridad administrativas, físicas y técnicas, garantizan que los historiales médicos sean confidenciales, estén integrados y sean accesibles.

¿Cómo deben definirse las políticas de gobernanza, clasificación y retención de datos?

La gobernanza de datos en el sector sanitario se basa en la claridad de los datos de los historiales médicos electrónicos (EHR), la ubicación de los datos, la persona o entidad responsable de dichos datos y las normas que rigen su uso y protección.

Los datos de los historiales médicos electrónicos (EHR) fluyen hacia plataformas de análisis clínico, bases de datos de investigación, herramientas sanitarias relacionadas con los pacientes y sistemas de generación de informes. Por lo tanto, estos datos deben estar sujetos a controles adecuados a lo largo de todo su ciclo de vida.

La clasificación de datos ayuda a las organizaciones sanitarias a aplicar controles teniendo en cuenta la sensibilidad de los datos. Los distintos datos sanitarios presentan diferentes niveles de sensibilidad o de relevancia normativa. En concreto, los datos agregados y anonimizados utilizados para los requisitos de análisis sanitario difieren de los relativos a los historiales clínicos identificables individualmente.

Las categorías de datos altamente sensibles, como los historiales de salud mental y la información sobre salud reproductiva, requieren una protección reforzada en virtud de la legislación estatal.

Las políticas de conservación están diseñadas para equilibrar los requisitos clínicos, legales y de seguridad. Los registros de datos deben conservarse durante períodos específicos de acuerdo con las directrices clínicas. En cuanto a los requisitos legales, estos varían de una jurisdicción a otra. Por último, las directrices de seguridad exigen a las organizaciones sanitarias que minimicen el volumen de datos sensibles.

Para gestionar con éxito los datos sanitarios, las organizaciones deben conciliar los requisitos mencionados en un marco de conservación coherente, que vaya más allá de las funciones clínicas, legales, de cumplimiento normativo y de seguridad.

¿Qué programas de formación y sensibilización ayudan a reducir el error humano y el riesgo interno?

Una formación eficaz en materia de seguridad en el sector sanitario debe diseñarse específicamente para cada función, ser relevante para el contexto de los datos y formar parte de los flujos de trabajo clínicos. Una enfermera que sepa por qué compartir credenciales es arriesgado podrá protegerlas con éxito. No puede decirse lo mismo de una enfermera que haya completado una formación general sobre seguridad de contraseñas.

Además, los programas de simulación de phishing, en los que el personal se enfrenta a correos electrónicos de phishing realistas pero inofensivos, proporcionan retroalimentación inmediata y formación específica. Por lo tanto, no es necesario esperar al siguiente ciclo de sensibilización programado.

¿Cómo pueden estructurarse la gestión de riesgos de terceros y los contratos con proveedores para proteger los datos de los pacientes?

La HIPAA amplía sus requisitos a terceros mediante los Acuerdos de Colaboración Empresarial (BAA). Un BAA documenta los requisitos, pero no garantiza el cumplimiento. Por eso, una gestión eficaz de los riesgos de terceros va más allá de un BAA.

Una gestión eficaz de los riesgos de terceros debe basarse en una evaluación de seguridad de los proveedores antes de la contratación, así como en la supervisión y el cumplimiento normativo. De este modo, las organizaciones sanitarias pueden detectar las infracciones de los proveedores sin perder tiempo.

El ecosistema de proveedores sanitarios es muy diverso, lo que complica la gestión de los riesgos de terceros. Las empresas y los proveedores de servicios —como los proveedores de historias clínicas electrónicas (EHR), los fabricantes de dispositivos médicos, los proveedores de servicios en la nube y de servicios gestionados, y los integradores de sistemas clínicos— gestionan la información médica protegida (PHI) de forma diferente y con distintos niveles de capacidad de seguridad.

Una evaluación y un seguimiento exhaustivos de los riesgos pueden ayudar de forma práctica a gestionar con éxito esta complejidad y diversidad.

¿Cómo equilibran las organizaciones sanitarias la seguridad de la información con la eficiencia clínica?

Las organizaciones sanitarias equilibran la seguridad de la información con la eficiencia clínica mediante una gestión cuidadosa y controles de seguridad. De este modo, disfrutan de una protección significativa y minimizan las fricciones operativas.

¿Pueden los controles de acceso estrictos ralentizar la atención médica de urgencia?

En situaciones de emergencia, las organizaciones dedican mucho tiempo a la autenticación, a la gestión de las solicitudes de acceso y a la recuperación de credenciales. Por lo tanto, los programas de seguridad sanitaria deben diseñarse teniendo en cuenta los escenarios de acceso de emergencia y cumplir tanto los requisitos de seguridad como los clínicos.

Los mecanismos de acceso de emergencia que permiten a las organizaciones sanitarias acceder rápidamente a los historiales médicos pueden ayudar a resolver el reto mencionado. En concreto, el «acceso rápido de emergencia» consiste en registrar, revisar y validar la información en función del contexto clínico, lo que ayuda a detectar y abordar los problemas de seguridad de los datos.

¿Por qué el personal clínico elude a veces los procedimientos de seguridad?

El personal clínico elude a veces los procedimientos de seguridad debido a un problema de diseño. Cuando se evalúa que los costes que los procedimientos de seguridad imponen al flujo de trabajo clínico son inaceptables en comparación con el beneficio de seguridad percibido, el personal clínico se esfuerza por reducir dichos costes.

Cuando el personal clínico elude habitualmente los controles de seguridad, el panorama de riesgo real refleja ese comportamiento de elusión en lugar del control previsto. Para lograr mejores resultados en materia de seguridad, las organizaciones sanitarias deberían diseñar controles que el personal clínico utilice realmente, en lugar de eludirlos.

¿Cómo pueden las organizaciones sanitarias reducir la fatiga de contraseñas sin debilitar la seguridad?

La gestión de múltiples contraseñas complejas, que se cambian con frecuencia, en distintos sistemas clínicos da lugar a la fatiga de contraseñas, lo que supone una carga cognitiva.

Las soluciones de inicio de sesión único (SSO) ayudan a reducir la fatiga de contraseñas. ¿Cómo? Requieren una única autenticación por parte de los profesionales clínicos para acceder a múltiples sistemas clínicos. El SSO, combinado con una autenticación sólida durante el inicio de sesión inicial, reduce las fricciones y mejora la seguridad.

La autenticación por proximidad basada en tarjetas inteligentes, tarjetas de identificación o lectores biométricos permite a las organizaciones sanitarias cambiar rápidamente de usuario en las estaciones de trabajo compartidas, resolviendo así el reto de la gestión de sesiones responsable del uso compartido de credenciales en entornos clínicos.

La autenticación mediante «tocar para iniciar sesión» y «tocar para cerrar sesión» tarda menos de un segundo. Genera una fricción mínima y ayuda a atribuir cada sesión al usuario correcto.

¿Qué políticas de seguridad suelen generar más fricción para el personal médico?

En su mayoría, las políticas de tiempo de espera de las sesiones generan fricción en materia de seguridad en los entornos clínicos. Esto se debe a que, cuando los breves periodos de inactividad van seguidos de un bloqueo automático, se interrumpe el flujo de trabajo en las estaciones de trabajo compartidas. Como consecuencia, los usuarios tienen que volver a autenticarse, lo que supone una carga adicional.

Los requisitos complejos en materia de contraseñas, relacionados con la longitud y los caracteres, no permiten a los usuarios memorizarlas fácilmente. Por ello, comparten credenciales y las reutilizan. Como resultado, la seguridad se debilita y la fricción aumenta.

¿Cómo deben responder las organizaciones sanitarias ante las violaciones de datos de las historias clínicas electrónicas (EHR) y los retos de seguridad?

Las organizaciones sanitarias deben contar con un plan coordinado para responder de inmediato a las violaciones de datos de las historias clínicas electrónicas (EHR). De este modo, estas organizaciones pueden garantizar el cumplimiento normativo y legal, así como la seguridad a largo plazo.

¿Qué debe incluir un plan de respuesta eficaz tras una violación de datos sanitarios?

Un plan eficaz de respuesta ante una filtración en el sector sanitario debe definir la autoridad responsable de declarar la filtración, de los procedimientos de emergencia, de las decisiones relacionadas con los pagos y de la comunicación con los organismos reguladores y el público. De lo contrario, las decisiones improvisadas y poco claras provocan retrasos costosos y que consumen mucho tiempo, así como confusión para las organizaciones sanitarias.

El plan debe incluir recursos externos que puedan estar disponibles en cuestión de horas. De lo contrario, cuando se produzca una filtración, la investigación forense, los aspectos legales y las relaciones públicas sufrirán retrasos sin estos recursos. Por lo tanto, es fundamental establecer con antelación medidas de respuesta ante filtraciones en el sector sanitario y la comunicación con los profesionales.

¿Cómo deben las organizaciones investigar, contener y subsanar una filtración?

Al detectar una posible filtración, el primer paso es detener los intentos del pirata informático de acceder a los sistemas y sustraer datos. Para contener una filtración, las organizaciones aíslan los sistemas comprometidos, aunque ello pueda interrumpir las operaciones clínicas. Si un atacante sigue accediendo a los sistemas mientras se lleva a cabo la investigación, surgen importantes riesgos adicionales.

Los investigadores forenses deben preservar las pruebas mientras los equipos operativos restauran los servicios. El expediente de la investigación, incluidas las imágenes forenses capturadas antes de la corrección, ayuda a los profesionales a comprender el alcance de la violación de datos y a demostrar la respuesta de la organización ante los organismos reguladores.

Una corrección eficaz ayuda a abordar la configuración incorrecta, las vulnerabilidades sin parchear, los privilegios excesivos y la ausencia de supervisión que permitieron que el ataque tuviera éxito.

¿Cuándo y cómo se debe notificar a los pacientes, a las autoridades reguladoras y al público?

Los pacientes afectados deben recibir notificaciones individuales en un plazo de 60 días desde el descubrimiento de la violación de datos. La HIPAA establece requisitos específicos para las notificaciones de violaciones de datos. Las organizaciones deben cumplir estos requisitos independientemente de la complejidad del caso.

El Departamento de Salud y Servicios Humanos de EE. UU. debe recibir notificaciones sobre violaciones de datos que afecten a 500 o más personas en un plazo de 60 días. Si una filtración ha afectado a 500 o más residentes de un estado o jurisdicción, deben enviarse notificaciones a los principales medios de comunicación de esa zona.

El contenido de la notificación es tan importante como el momento en que se realiza. Una notificación eficaz explica qué ha ocurrido, qué información se ha visto comprometida, qué medidas está tomando la organización al respecto, qué medidas deben adoptar los pacientes para protegerse, y ofrece servicios de supervisión crediticia y protección contra el robo de identidad para ayudar a las personas afectadas.

Cómo se desarrolla normalmente un ataque moderno de ransomware en el sector sanitario

Los piratas informáticos obtienen el acceso inicial, por lo general, semanas o meses antes de la filtración. Los correos electrónicos de phishing con malware diseñado para robar credenciales se encuentran entre los medios más habituales.

Además, los atacantes se centran de forma remota en las vulnerabilidades relacionadas con Internet en los sistemas y piratean las credenciales de proveedores externos. Así es como los atacantes intentan establecer una presencia en la red y, a continuación, avanzan.

El siguiente paso consiste en realizar un mapeo de la red y recopilar información. En concreto, los atacantes trazan un mapa de la topología de la red, identifican los sistemas de alto valor, localizan la infraestructura de copias de seguridad y hacen un inventario de los controles de seguridad.

Es en ese momento cuando los atacantes son más fáciles de detectar. La cuestión es que las actividades de reconocimiento generan tráfico de red y consultas al sistema que se desvían de los patrones habituales. Además, los equipos de seguridad del sector sanitario suelen pasar por alto esta fase debido a sus limitadas capacidades de detección.

Escalada de privilegios y descubrimiento de los sistemas de historias clínicas electrónicas (EHR)

Cuando los atacantes se establecen en los sistemas, el siguiente paso consiste en centrarse en la escalada de privilegios para obtener credenciales o acceso con privilegios superiores a los de la fase inicial. En el sector sanitario, esto suele implicar aprovechar servicios mal configurados, atacar vulnerabilidades u obtener credenciales que no cuentan con una protección sólida.

Como resultado, identifican y acceden a fuentes valiosas, como los sistemas de historias clínicas electrónicas (EHR) y los servidores de bases de datos. Cuando los atacantes cifran datos y amenazan con publicarlos, preparan y almacenan los datos sin procesar de los sistemas de historias clínicas electrónicas (EHR) para su exfiltración y solo entonces aplican el cifrado. Solo se necesitan días o semanas para transformar gigabytes o terabytes de datos de pacientes en una infraestructura controlada por los atacantes.

Ataques dirigidos a las copias de seguridad e interrupción de la recuperación

Los ataques sofisticados de extorsión en el ámbito hospitalario se centran específicamente en inutilizar los sistemas de copias de seguridad y, a continuación, aplican el cifrado. Los hackers pueden utilizar las redes para acceder a la información de las copias de seguridad a través de sistemas comprometidos, y esta información se cifra junto con los datos primarios.

Los atacantes comprometen las consolas de gestión de copias de seguridad y eliminan los catálogos de copias de seguridad. Su objetivo es eliminar las opciones de recuperación para someter a la organización sanitaria a una mayor presión.

La buena noticia es que el almacenamiento inmutable de copias de seguridad, en el que se pueden encontrar datos que no pueden modificarse ni eliminarse, resulta vital para las organizaciones sanitarias a la hora de proteger la información.

Las copias de seguridad aisladas físicamente (air-gapped) o inmutables protegen los datos frente al cifrado utilizado en los ataques de extorsión en el sector sanitario y permiten la recuperación de los datos. Lamentablemente, las copias de seguridad conectadas o accesibles carecen de las ventajas mencionadas.

¿Qué métricas y estrategias de mejora continua miden la eficacia de la seguridad de la información sanitaria?

Las organizaciones sanitarias realizan un seguimiento de determinadas métricas para medir la eficacia de la seguridad en la protección de los historiales médicos electrónicos. Estas métricas pueden incluir la finalización de las evaluaciones de riesgos y las tasas de superación de simulacros de phishing, así como los tiempos de respuesta ante incidentes de seguridad.

Los análisis periódicos de riesgos según la HIPAA y los escáneres de vulnerabilidades, así como la formación continua para sensibilizar al personal sobre la ciberseguridad, pueden ayudar a mejorar la eficacia.

¿Qué KPI y métricas de riesgo deben supervisar las organizaciones?

Las organizaciones sanitarias deben supervisar la métrica Tiempo medio de detección (MTTD) para conocer el tiempo medio transcurrido entre el acceso inicial y la detección de la brecha. De este modo, pueden identificar la correlación más alta con el impacto de la brecha.

La cuestión es que detectar a los piratas informáticos en cuestión de horas ayuda a evitar daños graves, lo que no puede decirse de la detección de atacantes que se produce meses después. Y la métrica tiempo medio de respuesta (MTTR) muestra si la organización estructura su respuesta con claridad, cuenta con recursos suficientes y dispone de una autoridad decisoria sin ambigüedades.

Tomemos otra métrica: la latencia de los parches. Refleja el tiempo transcurrido entre la divulgación de una vulnerabilidad y la implementación del parche. Esta métrica ayuda a descubrir las debilidades de la organización en lo que respecta a las vulnerabilidades.

En el sector sanitario, la aplicación de parches exige que las organizaciones evalúen el impacto clínico y dispongan de ventanas de mantenimiento programadas. En este caso, la latencia de los parches es mayor que en entornos con menos restricciones operativas, como los sectores financiero y jurídico. Esta métrica requiere una atención organizativa constante para su adecuado seguimiento y gestión.

Otra métrica, la tasa de finalización de las revisiones de acceso, refleja si las organizaciones sanitarias llevan a cabo realmente revisiones periódicas de los privilegios de acceso de los usuarios y toman medidas basadas en dichas revisiones. Porque si estas revisiones solo quedan plasmadas en papel, no aportan ningún beneficio en materia de seguridad.

¿Con qué frecuencia deben realizarse las evaluaciones de seguridad, las pruebas de penetración y las auditorías?

El cumplimiento mínimo exige que las organizaciones sanitarias realicen evaluaciones anuales. Sin embargo, esta evaluación no es suficiente. Además, las organizaciones que se basan únicamente en evaluaciones anuales realizadas por terceros para evaluar su seguridad solo pueden medir su estado de seguridad en relación con el día concreto en que se llevó a cabo la evaluación.

Las pruebas de penetración que utilizan los métodos de los atacantes reales proporcionan una evaluación más valiosa. Este tipo de simulación ayuda a descubrir vulnerabilidades explotables. Además, comprueba la eficacia de la detección de amenazas y si la organización cuenta con las capacidades de respuesta adecuadas frente a ataques realistas.

Si una organización desea aplicar una evaluación de seguridad que se ajuste al entorno real, debe supervisar las amenazas de forma constante, realizando simultáneamente evaluaciones periódicas y pruebas de penetración basadas en el riesgo, en lugar de en calendarios de cumplimiento normativo.

¿Cómo pueden integrarse las lecciones aprendidas de los incidentes en las actualizaciones de políticas y tecnología?

Las revisiones realizadas tras los ataques ayudan a las organizaciones sanitarias a aprender de la experiencia. Comprender los factores sistémicos amplía el aprendizaje organizativo.

Cuando las organizaciones examinan por qué los controles de seguridad no impidieron la amenaza, qué vulnerabilidades existían y por qué se retrasó la detección de la amenaza, adquieren una mejor comprensión de qué mejoras significativas en materia de seguridad deben llevar a cabo.

A continuación, las organizaciones deben integrar las lecciones aprendidas en las políticas reales y realizar cambios tecnológicos basados en dichas lecciones. Además, las organizaciones deben hacer un seguimiento de las recomendaciones derivadas de las revisiones posteriores a los incidentes, asignarlas a los responsables y verificar su implementación. Si estas recomendaciones se quedan en el papel, no pueden aportar valor en materia de seguridad.

¿Cómo ayuda Bacula Systems a las organizaciones sanitarias a proteger las historias clínicas electrónicas y los datos de los pacientes?

¿Considera que la copia de seguridad de los datos sanitarios es una cuestión de resiliencia informática? En última instancia, se trata de una cuestión de seguridad del paciente. Cuando los atacantes piratean y cifran los sistemas principales de un hospital, y este ya no puede recurrir a la recuperación de copias de seguridad, las consecuencias clínicas se hacen patentes de inmediato.

En concreto, las intervenciones quirúrgicas no se llevan a cabo a tiempo, los historiales en papel carecen de datos y las decisiones que se toman no tienen en cuenta el historial del paciente, lo que aumenta el riesgo clínico.

Bacula Systems se ha desarrollado teniendo en cuenta la realidad operativa para ayudar a proteger con éxito los datos sanitarios.

Bacula ofrece resiliencia ante incidentes de ransomware en hospitales mediante la separación entre los sistemas de producción y de copia de seguridad

Los atacantes de extorsión más sofisticados del sector sanitario cifran los sistemas principales de las organizaciones sanitarias y no abandonan las redes pirateadas. Hacen todo lo posible por identificar y destruir la infraestructura de copias de seguridad. El objetivo es garantizar que los proveedores sanitarios no puedan recuperar los datos sin pagar al atacante.

Bacula para el sector sanitario proporciona una separación arquitectónica genuina entre los datos de copia de seguridad y los entornos de producción.

Bacula admite copias de seguridad con aislamiento físico (air-gapped) y un cifrado robusto, de modo que ni siquiera las credenciales comprometidas puedan modificar o eliminar datos. Esto también impide que los atacantes comprometan la capacidad de recuperación de datos, lo que permite a las organizaciones sanitarias evitar consecuencias catastróficas.

Bacula ofrece cumplimiento normativo conforme a la HIPAA y capacidad de auditoría

Muchas organizaciones sanitarias ignoran los problemas de cumplimiento normativo asociados a la ePHIA. Se trata de la copia de seguridad de una base de datos de historias clínicas electrónicas (EHR), que tiene las mismas obligaciones en materia de control de acceso, cifrado y auditoría según la HIPAA que los datos primarios.

Bacula ofrece controles de seguridad avanzados que pueden ayudar a los proveedores sanitarios a gestionar el acceso basado en roles, garantizar un registro de auditoría exhaustivo y asegurar el cumplimiento normativo. Estos controles de seguridad desempeñan un papel especial en el sector sanitario, donde los proveedores gestionan diferentes tipos de registros y poblaciones de pacientes.

Bacula ofrece compatibilidad con entornos heterogéneos

Las soluciones de copia de seguridad generales no pueden abordar los problemas de la infraestructura sanitaria heterogénea. Esta infraestructura no es homogénea: comprende sistemas clínicos heredados, bases de datos especializadas y aplicaciones propietarias.

Bacula es compatible con dicha diversidad, incluyendo SQL Server, Oracle y MySQL. Las organizaciones sanitarias que utilizan Epic, Cerner o MEDITECH pueden emplear Bacula para restaurar datos, garantizando así un sistema clínicamente operativo.

Bacula admite pruebas de integridad de las copias de seguridad y la recuperación verificada

Es peligroso dar por sentado que las tareas de copia de seguridad completadas son copias de seguridad restaurables. Bacula ofrece pruebas de integridad automatizadas para ayudar a las organizaciones a verificar periódicamente la recuperabilidad de los datos. Esto también ayuda a almacenar pruebas documentadas sobre la recuperación de datos y el tiempo necesario para llevarla a cabo.

La base de código abierto de Bacula, disponible como Bacula Community Edition, es una plataforma que ofrece una funcionalidad completa y copias de seguridad y recuperación de nivel de producción. La Community Edition proporciona un amplio conjunto de capacidades sin necesidad de licencias empresariales.

Las capacidades empresariales de Bacula amplían y mejoran esa misma arquitectura, garantizando el cumplimiento de las obligaciones de copia de seguridad de la HIPAA sin comprometer la arquitectura de seguridad exigida por la protección de los datos de los pacientes.

Por qué el fallo de las copias de seguridad suele ser el verdadero desastre de seguridad en el sector sanitario

Las copias de seguridad son importantes porque su fallo puede suponer un verdadero desastre de seguridad en el sector sanitario, ya que las organizaciones suelen considerar las copias de seguridad como un mecanismo de recuperación de último recurso.

Las copias de seguridad suelen fallar porque las organizaciones sanitarias dan más importancia a la seguridad perimetral, la detección de amenazas y el control de acceso. Concretamente, la falta de pruebas de restauración, la corrupción del hardware y los errores humanos —como alertas no supervisadas o configuraciones erróneas— provocan el fallo de las copias de seguridad.

En concreto, cuando los sistemas principales dejan de estar disponibles, la copia de seguridad es el único recurso. Que sea posible recuperar los datos o que la organización se enfrente a una catástrofe depende de la calidad de la arquitectura de copias de seguridad, de la exhaustividad de la cobertura de las mismas y de la capacidad de recuperación probada de la información copiada.

Los atacantes de ransomware se centran en las copias de seguridad antes de lanzar el cifrado de los sistemas de producción. Su objetivo es eliminar las opciones de recuperación, obligando a la organización sanitaria a pagar el rescate. En concreto, los piratas informáticos utilizan el acceso privilegiado para mapear redes, comprometer servidores de copias de seguridad y borrar datos.

Se requiere una verificación proactiva para detectar copias de seguridad dañadas o incompletas durante una emergencia de datos activa.

Ciertas suposiciones sobre las copias de seguridad —que se consideraban razonables en la era anterior al ransomware— resultan inadecuadas en el panorama actual de amenazas, que se ha intensificado considerablemente. Solo las copias de seguridad probadas pueden considerarse funcionales.

Durante las pruebas, las organizaciones restauran los datos desde la copia de seguridad a un entorno de prueba. A continuación, validan que los sistemas y los datos restaurados estén completos y operativos, sin limitarse a afirmar que el proceso se ha completado sin errores.

Los autores de incidentes de ransomware en hospitales que pueden utilizar los sistemas principales para acceder a los datos de copia de seguridad cifran dichos datos. Los atacantes aprovechan las vulnerabilidades relacionadas con los sistemas principales. En concreto, se aprovechan de los repositorios de datos conectados a las redes, los sistemas de gestión de copias de seguridad y las herramientas de copia de seguridad en la nube relacionadas con las credenciales.

Si las organizaciones sanitarias utilizan una arquitectura de copias de seguridad eficaz, los piratas informáticos no podrán acceder a los datos de copia de seguridad comprometiendo los sistemas primarios. Incluso si los atacantes utilizan credenciales y segmentos de red distintos, ni el aislamiento físico (air-gap), ni la inmutabilidad lógica, ni la separación arquitectónica les ayudarán a tener éxito.

En cuanto a los objetivos de recuperación, las organizaciones sanitarias deben probar el Objetivo de Tiempo de Recuperación (RTO). Este indica el tiempo que llevará la restauración, en función de los requisitos operativos clínicos: las especificaciones teóricas no tienen importancia.

¿Qué pasaría si un sistema de historias clínicas electrónicas (EHR) de un hospital tardara 72 horas en restaurarse a partir de la copia de seguridad debido a un grave deterioro de las operaciones clínicas? Este tipo de escenario debe tenerse en cuenta antes del ataque, para que no suponga una sorpresa durante o después del mismo.

¿Cómo cambiará la tecnología de la información sanitaria el futuro de la seguridad en la protección de los historiales médicos electrónicos?

El panorama tecnológico de la seguridad en la protección de los historiales médicos electrónicos avanza a un ritmo vertiginoso, transformando el futuro de la seguridad de la información sanitaria. Los cambios fundamentales en este panorama son el resultado del rápido crecimiento de la inteligencia artificial, la creciente interoperabilidad de los datos sanitarios y las soluciones criptográficas modernas. Estos cambios afectan a la forma en que las organizaciones sanitarias procesan y comparten los datos confidenciales de los pacientes.

¿Cómo podrían la inteligencia artificial y el aprendizaje automático mejorar la detección de amenazas y la protección de la privacidad?

Los modelos de análisis de comportamiento y de aprendizaje automático basados en la inteligencia artificial, desarrollados a partir de los patrones de acceso habituales de cada usuario, pueden detectar desviaciones relacionadas con un acceso indebido. Además, pueden identificar credenciales comprometidas con mayor precisión que los sistemas de detección basados en reglas. Esto puede ayudar a las organizaciones sanitarias a detectar amenazas y a proteger con éxito la privacidad de los pacientes.

¿Cuáles son los retos en el ámbito sanitario? Por ejemplo, un médico o una enfermera que se encargue de un servicio con el que no esté familiarizado puede acceder a los historiales sin intención maliciosa. Es posible que los modelos que generan un gran número de falsos positivos no aporten valor en materia de seguridad, y que los modelos que reducen el número de falsos positivos no detecten anomalías reales.

Un enfoque descentralizado del aprendizaje automático ayuda a detectar amenazas sin utilizar datos sensibles de los pacientes con fines de entrenamiento. Gracias a este entrenamiento descentralizado de la IA, los modelos de IA entrenados con los datos que se encuentran detrás del cortafuegos de la organización se transmiten entre organizaciones. Solo las actualizaciones matemáticas anónimas pueden transmitirse a nivel global.

¿Cuáles son las implicaciones de seguridad del aumento de la interoperabilidad y el intercambio de datos sanitarios?

La agenda de interoperabilidad sanitaria da lugar a un ecosistema de datos sanitarios que permite que la información de los pacientes circule libremente entre los proveedores de asistencia sanitaria, los pacientes y las entidades financieras. Como resultado, las cuestiones de seguridad se vuelven mucho más complejas.

Esta agenda se basa en determinadas normativas, entre las que se incluyen las normas sobre bloqueo de información de la Oficina del Coordinador Nacional de Tecnologías de la Información Sanitaria y los requisitos de interoperabilidad de los Centros de Servicios de Medicare y Medicaid (CMS).

Las arquitecturas de seguridad eficaces protegen los datos más allá de los entornos cerrados de historias clínicas electrónicas (EHR), orientándose hacia un ecosistema más abierto sin sacrificar los beneficios clínicos que aporta la interoperabilidad.

En concreto, las API de Fast Healthcare Interoperability Resources (FHIR), que sustentan la actual expansión de la interoperabilidad, conllevan requisitos de seguridad específicos. Por ejemplo, estándares como los marcos de autorización OAuth 2.0, los controles de seguridad de las pasarelas de API y las prácticas de gestión de tokens son nuevos requisitos en el panorama de la seguridad de las API sanitarias que las organizaciones deben cumplir.

¿Podrían la cadena de bloques, el cifrado homomórfico o el aprendizaje federado cambiar la forma en que se protegen los EHR?

El cifrado homomórfico permite realizar cálculos sobre datos cifrados sin necesidad de descifrarlos. Es importante desde el punto de vista teórico para las aplicaciones sanitarias, ya que el análisis de datos sensibles de los pacientes no debe exponer los registros subyacentes.

Dicho análisis de datos cifrados de los EHR ayuda a determinar las lagunas en los datos sanitarios o las poblaciones de riesgo sin acceder a información legible de los pacientes.

La tecnología blockchain es un mecanismo potencial para los datos sanitarios controlados por el paciente, la gestión del consentimiento y el registro de auditorías.

El uso práctico de la tecnología blockchain en el sector sanitario resulta valioso para controlar el acceso a los datos de los pacientes, combatir las amenazas internas y mejorar la resiliencia frente a los ataques de cifrado de datos.

El aprendizaje federado, ya mencionado, puede resultar valioso en la práctica para desarrollar modelos colaborativos de inteligencia artificial que preserven la privacidad de los datos. Y esta es la categoría tecnológica que mejor contribuye a la implementación práctica de aplicaciones de seguridad en el sector sanitario.

¿Qué lista de comprobación práctica y recomendaciones pueden seguir las organizaciones en este momento?

Las listas de comprobación prácticas y las recomendaciones, como la autenticación multifactorial y la validación de la arquitectura de copias de seguridad, ayudan a las organizaciones a combatir los ataques utilizando el conocimiento de las amenazas, en lugar de tener que enfrentarse a otra filtración.

Estas recomendaciones pueden organizarse en forma de medidas inmediatas para reducir los riesgos actuales, inversiones en la creación de una seguridad sólida y prácticas colaborativas que vayan más allá de los controles de seguridad de la organización.

¿Qué medidas de seguridad inmediatas deberían priorizar las organizaciones sanitarias para los sistemas de historias clínicas electrónicas (EHR)?

La autenticación multifactorial (MFA) en todos los accesos a los sistemas de historias clínicas electrónicas (EHR) puede ayudar a las organizaciones sanitarias a reducir significativamente los riesgos sin incurrir en mayores costes de implementación. La MFA tiene el mayor impacto contra el phishing, el robo de credenciales y los ataques de fuerza bruta. Y los atacantes del sector sanitario utilizan principalmente estos mecanismos de acceso.

La revisión y reducción de los accesos privilegiados constituyen otra medida que las organizaciones deben priorizar al abordar el exceso de privilegios que se observa en la mayoría de las principales brechas de seguridad del sector sanitario. Las organizaciones deben incluir en esta revisión los servicios, los accesos de proveedores y las cuentas heredadas con privilegios acumulados.

A continuación, se encuentra la validación de la arquitectura de copias de seguridad. Esta medida de seguridad ayuda a las organizaciones a probar la capacidad de recuperación de las copias de seguridad en condiciones realistas. Garantiza que los datos de las copias de seguridad estén separados del acceso a la red principal.

Además, confirma que el objetivo de tiempo de recuperación (RTO) aborda el punto de fallo, determinando si los datos comprometidos son recuperables o si pueden acarrear consecuencias catastróficas.

Por último, la revisión de la segmentación de la red permite a las organizaciones sanitarias evaluar si los sistemas de historias clínicas electrónicas (EHR), los dispositivos médicos y las redes clínicas están debidamente separados entre sí y de las redes de uso general. Esto contribuye a mejorar la resiliencia frente a los ataques de ransomware en los hospitales.

Lista de comprobación de seguridad de 10 pasos para la protección de las historias clínicas electrónicas destinada a organizaciones sanitarias