Los objetivos del ransomware en el sector salud

Por Christiaan Beek, de Intel Security.

Cada vez que desarrollamos predicciones de amenazas en Intel Security, personalmente me gusta llevar a cabo algunas investigaciones adecuadas y basar mis declaraciones sobre indicadores de lo que hemos visto en el campo y lo que creemos aumentará durante los próximos seis a doce meses.

En las Predicciones de Amenazas 2016 realizadas por McAfee Labs, mencionamos que aumentaría el ransomware (un ransomware, del inglés ransom rescate y ware, software, es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado). En tan sólo seis semanas transcurridas en el año, observamos campañas masivas que propagaron nuevas versiones de TeslaCrypt y CryptoWall Versión 4. Asimismo, observamos el surgimiento de varios sitios nuevos que emplean el ransomware como un servicio para su creación así como el seguimiento de los pagos de las víctimas.

Siempre desearíamos que algunas de nuestras predicciones no se concretaran en ataques del mundo real. Lamentablemente, no es el caso. La segunda parte de nuestras predicciones de ransomware fue que los ataques dirigidos hostigarían a determinados sectores.

Hace poco nos enteramos de que un hospital en Hollywood, California fue afectado por una campaña de ransomware, su red cayó durante más de una semana junto con la pérdida de correo electrónico y datos de pacientes. Los ciberdelincuentes suelen pedir entre $200 y $500 dólares para restaurar los archivos; sin embargo, en este caso particular, exigieron el pago de $3.6 millones de dólares, un posible indicador de una campaña de ransomware que no fue aleatoria ya que sabemos que otras fuentes informaron de más víctimas de ransomware dentro del cuidado de la salud esta semana.

En los hospitales los equipos de diferentes departamentos están interconectados y comparten los datos de pacientes, rayos X y tomografías computarizadas, estos sistemas a menudo no son segmentados en distintas redes o zonas de seguridad por lo que en el momento en que los datos son cifrados por ransomware las operaciones diarias se paralizan por completo porque algunas partes de la cadena ya no están disponibles. No sólo el ransomware, sino también las infecciones de malware pueden causar mucho daño.

Al haber trabajado con el equipo de respuesta a incidentes de Intel Security recuerdo algunos casos en los cuales detectamos infecciones de malware en hospitales de todo el mundo, el mayor desafío que tuvimos fue el de limpiar los dispositivos médicos, generalmente habilitados con una versión antigua de un sistema operativo incorporado. De hecho, en ocasiones inclusive acabamos con herramientas de línea de comandos y archivos de configuración personalizados para lograr limpiar esos dispositivos de malware.

No todos los hospitales cuentan con el presupuesto para que personal de seguridad informática esté totalmente dedicado a brindar seguridad a la información y a monitorear la red. La prioridad es mantener los sistemas disponibles 24 horas al día, 7 días a la semana; sin embargo, algunos de los principios básicos de seguridad relativos a la arquitectura de red y a la protección de datos confidenciales (incluyendo copias de seguridad) deben estar siempre implementados. Un ejemplo claro es nunca permitir que los dispositivos médicos con un sistema operativo obsoleto incorporado se conecten a Internet, lo ideal es que pertenezcan a una zona de red segmentada y separada, dedicada a un departamento del hospital y con reglas de acceso que regulen su conexión entre esas zonas.