Hackeo en directo al sistema informático de un hospital: otra debilidad sanitaria

Miguel Ángel de Castro, un “hacker del lado de los buenos”, ha demostrado en directo, en el 41 Seminario de Ingeniería Hospitalaria que se ha celebrado en Sevilla, lo vulnerables que son algunas instalaciones sanitarias, al entrar en el sistema informático de una de ellas, accediendo en menos de una hora a datos de pacientes en sus diversos departamentos.

Lo ha hecho en el marco de la mesa redonda “Ciberseguridad en Instituciones Sanitarias ¿Son los equipos médicos e industriales ciberseguros? ¿Nos enfrentamos a una pandemia mundial digital?”, que se ha celebrado con expertos en el ramo de distintas materias, moderada por JJ Delgado Soriano, doctorado Cum Laude en Economía Digital Inversor y asesor de empresas, según comunicada la organización del seminario.

Durante la charla, el hacker, que se hizo llamar “Halcón”, entró en el sistema operativo de un centro sanitario, que, según iba explicando “tiene un puerto que está protegido con un sistema antiguo, Windows 7”, que le sirvió para tomar “el control de la máquina”, tras conseguir la clave de uso de un sanitario, y poder acceder a historiales clínicos, citas previstas de pacientes y varios datos más en cuestión de minutos.

Sí es cierto que no llegó a entrar en información reservada, pero sí demostró que es relativamente fácil acceder a este tipo de sistemas si no se toman las oportunas precauciones.

Casi 200.000 millones en ciberseguridad

Y eso que España invierte casi 200.000 millones en ciberseguridad, un 33 % más que hace unos años, como recordaba JJ Delgado, antes de dar paso a Alejandro Nieto Esteban, responsable de Seguridad de la información en el Hospital Clinic de Barcelona, que sufrió un ciberataque en 2023 del que el centro sanitario tardó tres meses en recuperarse completamente.

“Vivir un ciberataque como este es una experiencia que marca un antes y un después, un ataque tan fuerte que se fue la plataforma principal”, ha explicado, para resumir que atacó a 800 servidores y dejó sin poder funcionar al centro sanitario, que cuenta con 763 camas, y más de 15.000 dispositivos electrónicos desplegados por sus instalaciones.

Los piratas informáticos consiguieron la clave de acceso de un profesional del hospital, y robaron 4,5 TB de datos, “y todo durante el fin de semana, cuando hay menos movimiento”, entrando el centro en caos, “sin poder atender a los usuarios, derivando a críticos, sin atender las consultas externas…, y hasta que se llegó a la normalidad, después tres meses, los primeros fueron terribles”.

Otro de los presentes en la mesa, Manuel Jimber del Río, responsable de Seguridad TIC (Information Technology Security) -siglas en inglés- del Servicio Andaluz de Salud (SAS), ha puesto sobre la mesa datos que hablan de cómo los ciberpiratas han puesto sus miras en el sector sanitario, que a nivel europeo es el tercero que más ataques recibe, por delante la administración pública.

“Los hospitales son los más atacados, seguidos de las autoridades sanitarias y la industria farmacéutica (89, 30 y 31 % respectivamente), y no son ataques por atacar, sino que “el 60 % de los cibercriminales busca la ganancia financiera”.

A nivel andaluz, es llamativo el dato que habla de que solo la pasada semana el SAS detectó 59.271 posibles, de los que “el 99 % se paran de forma automatizada”. Se contabilizaron 51.000 falsos positivos, 8.000 positivos…, pero solo 39 fueron incidentes reales, el 0,06 %.

Para aumentar el nivel de seguridad, Andalucía trabaja, encabezando la iniciativa de otras comunidades autónomas, en la guía de protección para dispositivos médicos, que ayudará más aún a proteger las instalaciones sanitarias.

“El sector publico tiene que estar protegido”

La visión sobre este problema la amplía Javier Candau, adjunto al Subdirector General del Centro Criptológico Nacional, que lleva 20 años oficialmente como centro aunque trabajando más de 40.

Señala que el objetivo principal de su entidad es “que el sector público esté protegido”, porque “si a un centro médico se le cae el ordenador, la cola de pacientes puede ser infinita, y la tensión en los hospitales es muy importante”, y destaca la importancia de que los servidores informáticos y todo lo relacionado con la ciberseguridad estén “segmentados”, algo que, en Andalucía solo tiene Granada, y Valencia a nivel nacional. Este modelo divide una red en varios segmentos o subredes, cada uno de los cuales funciona como una pequeña red propia, lo que permite a los administradores de red aplicar políticas detalladas para controlar el flujo de tráfico entre las distintas subredes.

Indica que en 2022 se tuvo constancia de 55.000 incidentes, en 2023 fueron 105.000, y 155.000 en 2024. “Nos atacan más porque tenemos mas cosas que mostrar”, indica.

Salud se ha llevado 8.000 de esos ataques, con 1.300 en Andalucía, la comunidad más atacada, 450 en Extremadura, 180 en Cantabria o 100 en Castilla-La Mancha. No hay datos de Cataluña o Valencia, comunidades en los que los informes se entregan al centro con datos globales, no especificando cuáles corresponden a la sanidad.

Además, aporta el dato de que hay más de 100 grupos de cibercriminales en el mundo, que atacan con distintos métodos.

Por último, Boris Delgado Riss, director de Industria y TIC de AENOR, asegura que en su departamento han visto muchas organizaciones a lo largo del tiempo que llevan trabajando, porque “tenemos la suerte de llevar mucho tiempo en ello”.

Señala que en los ataques hay “una parte tecnológica, pero otra más importante que son los sistemas de información”, que, unidos, suponen la barrera que se considera eficaz contra este problema. Con todo, resume que luchar contra los ataques informáticos “es un conjunto de tecnología, procesos y personas”.