Pablo Malo Segura
El sector sanitario está inmerso en un proceso de transformación digital que proporciona beneficios significativos, pero presenta múltiples desafíos en materia de ciberseguridad. En el año 2023 hasta un 34% de los ataques de ciberseguridad se dirigieron a organizaciones de salud. Un estudio del Instituto Nacional de Ciberseguridad (Incibe) estima que más del 50% de las pequeñas y medianas empresas en España no cuentan con protocolos de seguridad digital adecuados. En concreto, las clínicas dentales cada vez están más expuestas a ciberataques debido a su bajo nivel de inversión en ciberseguridad, lo que pone en riesgo la protección de datos de los pacientes.
En los últimos años los ataques de ransomware y violaciones de datos dirigidos a pequeñas y medianas empresas, como las clínicas dentales, han aumentado considerablemente. “Las clínicas dentales manejan una gran cantidad de datos personales y de salud sensibles, lo que las convierte en objetivos atractivos para los ciberdelincuentes que buscan monetizar esta información a través de extorsiones, venta en la dark web, o fraude de identidad”, explica Javier de la Chica, CEO de ITDent y experto en ciberseguridad. “Este tipo de ataques pueden paralizar las operaciones de una clínica, y lo que es peor, exponer a sus pacientes a riesgos de privacidad. Esto puede acarrear sanciones legales y dañar gravemente la reputación del negocio”, añade.
Más del 50% de las pequeñas y medianas empresas, como las clínicas dentales, en España no cuentan con protocolos de seguridad digital adecuados
Cómo mejorar la ciberseguridad en las clínicas dentales
El CEO de ITDent subraya que mejorar la ciberseguridad en las clínicas dentales es un proceso continuo que debe involucrar tanto a la infraestructura tecnológica como a las prácticas operativas del día a día y expone diferentes recomendaciones para hacerlo de manera efectiva. En primer lugar, la adopción de autenticación multifactor (MFA), que consiste en incluir una segunda capa de autenticación para acceder a sistemas críticos, como historiales clínicos electrónicos o bases de datos de pacientes.
En segundo lugar, la realización de auditorías de seguridad periódicas por parte de expertos que identifiquen vulnerabilidades antes de que puedan ser explotadas. También es fundamental la implementación de sistemas de backup y recuperación, asegurándose de realizar copias de seguridad de datos de forma regular y que se almacenen de manera segura fuera de la instalaciones físicas. Asimismo, es necesario realizar pruebas periódicas para verificar al restauración exitosa de esos backups.
Otro de los aspectos esenciales es la encriptación de datos sensibles. “Hay que cifrar todos los datos, tanto en tránsito como en reposo, para que incluso si los ciberdelincuentes acceden a ellos, no puedan utilizarlos sin las claves correspondientes”, precisa Javier de la Chica. Por último, es imperativo asegurar que el personal de la clínica reciba formación continua en buenas prácticas de ciberseguridad y sea capaz de reconocer ataques de pishing y otras amenazas.
ITDent y S2 Grupo, empresas especialidades en ciberseguridad, analizan para iSanidad los desafíos del sector dental en ciberseguridad y resaltan la necesidad de una formación específica en este ámbito para todo el personal de la clínica
Errores más frecuentes
Las clínicas dentales tienden a cometer ciertos fallos recurrentes que las hacen vulnerables a los ataques. Entre los errores más comunes se encuentran el uso de un software desactualizado, contraseñas débiles y reutilizadas, falta de segmentación en la red, carencia de políticas de acceso y backups inadecuados.
“Los ciberdelincuentes suelen explotar estas vulnerabilidades a través de ataques como el phishing, ataques de fuerza bruta para adivinar contraseñas, o malware que se propaga al descargar archivos maliciosos en correos electrónicos. Las vulnerabilidades en los dispositivos IoT también están en aumento, dado que muchos de ellos no están diseñados con la ciberseguridad como prioridad”, precisa el CEO de ITDent.
El ciberataque a Colosseum Dental
En el año 2022 las clínicas del grupo Colosseum Dental, en la región de Benelux, sufrieron un ataque de ransomware que afectó gravemente los sistemas de 120 clínicas en Países Bajos, comprometiendo datos sensibles de los pacientes. Los atacantes exigieron un rescate y, debido a que los sistemas de respaldo no contenían toda la información necesaria, la organización se vio forzada a pagar dos millones de euros para recuperar sus datos.
El grupo Colosseum Dental tuvo que pagar dos millones de euros para recuperar sus datos tras un ataque de ransomware sufrido en 2022
“Este ataque puso de manifiesto las graves consecuencias que puede tener un fallo en la ciberseguridad para las organizaciones sanitarias”, subraya Rafael Rosell, director comercial de la empresa española especializada en ciberseguridad S2 Grupo. Las clínicas dentales gestionan una gran cantidad de datos sensibles y dependen de sistemas tecnológicos que, si no están adecuadamente protegidos, pueden ser vulnerables a ataques cibernéticos.
“Contar con copias de seguridad completas, programas de defensa contra ransomware, y formación continua en ciberseguridad para el personal, no solo técnico sino también clínico, son pasos fundamentales para proteger estos entornos”, subraya. Este incidente de seguridad ha puesto de manifiesto que es ineludible que las clínicas dentales adopten medidas de ciberseguridad sólidas y específicas para garantizar la protección de los datos y mitigar posibles riesgos.
El sector salud, bajo amenaza
Según un informe de la Agencia de la Unión Europea para la Ciberseguridad (Enisa), el sector salud ha experimentado un incremento en los incidentes de ciberseguridad entre 2021 y 2023. Los proveedores de atención médica (incluidos los hospitales) fueron los más afectados, representando más del 53% de los ataques en el sector. El ransomware, presente en el 54% de los incidentes, se identificó como la principal amenaza, seguido de las filtraciones de datos (46%).
Un informe de la Agencia de la Unión Europea para la Ciberseguridad revela que el ransomware y las filtraciones de datos son las principales amenazas en el sector sanitario
En términos de impacto, precisa que los ciberataques consistieron principalmente en robos de datos (43%) y en la interrupción de servicios sanitarios (22%). Los hospitales fueron los más afectados por las filtraciones de datos, con un 27% de los incidentes registrados. Además, el informe señala que los ataques también causaron pérdidas financieras, aunque estas son difíciles de cuantificar. Según otro estudio de Enisa, el coste medio de un incidente de seguridad significativo en el sector salud es de 300.000 euros.
Rafael Rosell resalta que la ciberseguridad en el ámbito de la salud va más allá de proteger infraestructuras tecnológicas. “Es crucial comprender cómo los dispositivos médicos y las redes operativas se integran en la práctica clínica diaria”, argumenta. Para ello, comenta que es necesaria una aproximación integral que combine la especialización técnica con un profundo conocimiento del entorno sanitario, garantizando que las medidas de protección sean efectivas y se adapten al uso real que hacen los profesionales de la salud de estos sistemas.
Realizar copias de seguridad cifradas, programas de formación continua y planes de respuesta ante incidentes, medidas para mitigar los riesgos en ciberseguridad
“Desde S2 Grupo, enfatizamos la necesidad de una estrategia integral de ciberseguridad que combine tecnología avanzada, conocimiento operativo y formación específica, para proteger no solo la información sensible, sino también la continuidad y calidad de los servicios sanitarios”, afirma. En esta línea, recalca que la concienciación y formación del personal sanitario es tan importante como las soluciones tecnológicas implementadas.