La Creciente Amenaza del Ransomware (Chantaje Cibernético) en la Atención de la Salud

Por Laura Fonda Hochnadel
December 2016 Issue
In English!

*Ransomware= es un tipo de software malicioso diseñado para bloquear el acceso a un Sistema informático hasta que se paga una suma de dinero

chain and lock

Un plan de secuestro y rescate-como si se tomara de una película de piratas-está ocurriendo en los negocios todos los días, pero con un toque de alta tecnología. Cuando un empleado intenta acceder a un archivo de computadora, un mensaje en pantalla indica que todos los archivos de esa carpeta han sido encriptados (secuestrados). Los datos solo serán liberados si el pirata responsable recibe miles de dólares en Bitcoins (concepto de rescate) dentro de 96 horas. Este tipo de violación de datos, conocido como ransomware (chantaje cibernético), se está volviendo cada más común.

Si bien este escenario puede causar estragos en la productividad de cualquier empresa, si esos archivos encriptados son registros médicos electrónicos (EMRs-por sus siglas en inglés) de una empresa de O&P que contiene información de salud de los pacientes (PHI-por sus siglas en inglés), existe un dilema adicional, ya que la empresa está sujeta a las leyes de privacidad promulgadas por la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA-por sus siglas en inglés).

"El Chantaje Cibernético, en particular, es un tipo único de ataque porque, al menos con la diferencia común, usted no está hablando de la filtración real o robo de datos-usted está hablando de interrumpir la disponibilidad de datos," dice Daniel Nelson, C|EH, CIPP/US, abogado litigante comercial y especialista de Privacidad y Seguridad de Datos ubicado en Denver con Armstrong Teasdale. "Desde un punto de vista regulatorio, eso todavía se considera un evento de violación [bajo la HIPAA], que puede ser reportable y tiene todas las otras características que van con el evento de violación de datos, pero...esto ataca la disponibilidad de los datos a diferencia de...la confidencialidad de los datos."

El Cuidado de la Salud Está en el Punto de Mira

Los registros médicos-ya sean secuestrados para rescate, o pirateados (hackeados) y vendidos-se han convertido en una mercancía caliente, con el dinero como el factor motivador.

De acuerdo con la firma global de seguridad cibernética NTT Security, con sede en Bloomfield, Connecticut, Estados Unidos, los proveedores de salud son los objetivos porque ellos eligen el cuidado del paciente sobre la seguridad cibernética; la industria del cuidado de la salud ofrece una superficie de ataque cada vez mayor, especialmente cuando más dispositivos y máquinas médicas requieren integrarse a la red y el robo de datos es rentable, obteniéndose entre $40 y $50 dólares por cada expediente médico.

"Si usted mira el conjunto de registros promedio de un centro de salud, éste contiene una gran cantidad de información personal identificable, información sensible sobre las personas," incluyendo el nombre del paciente, información de facturación, fecha de nacimiento, número de seguro social, información del seguro médico y códigos de diagnósticos o tratamientos, comenta Nelson, que es uno de los pocos abogados de Estados Unidos que mantiene el título de "Certified Ethical Hacker" ( Hacker Ético Certificado -C|EH- por sus siglas en inglés). Él dice que la naturaleza sensible de la información crea oportunidades para la extorsión, el robo de identidad relacionada con las finanzas y la obtención de atención médica o prescripciones con la información médica de otra persona.

Mientras que una tarjeta de crédito comprometida puede ser descubierta y cancelada con bastante rapidez, los efectos del robo de identidad médica pueden ser de mayor duración, por lo que los datos son más valiosos en el mercado negro. Por ejemplo, a cualquiera podría tomarle años y el recibo de múltiples avisos debido a reclamaciones médicas fraudulentas no pagadas, para descubrir que su información médica fue violada.

¿Es el Chantaje Cibernético (Ransomware) una Violación Reportable Bajo la Ley HIPAA?

Si su computadora de trabajo o el sistema informático de su empresa es "hackeado" y los datos son vendidos o distribuidos, entonces esto es una violación reportable bajo la HIPAA, sin importar el hecho de que la información de salud electrónicamente protegida (ePHI-por sus siglas en inglés) debía haber sido encriptada por la empresa según lo ordenado por la HIPAA. Pero, ¿y qué si esos datos se hacen inaccesibles para usted con un ataque de chantaje cibernético?

La presencia de un chantaje cibernético en el sistema informático de su empresa se considera un incidente de seguridad, definido por la HIPAA como "el intento o real acceso no autorizado, uso, divulgación, modificación o destrucción de información o la interferencia con las operaciones del sistema." Sin embargo, si es una violación es una determinación completamente diferente.

En julio, la Oficina de Derechos Civiles (OCR-por sus siglas en inglés) del Departamento de Salud y Servicios Humanos de los Estados Unidos, publicó un acta que establece, "Cuando la información de salud electrónicamente protegida (ePHI) está encriptada como resultado de un ataque cibernético, entendemos que ha ocurrido una violación porque se ha adquirido una ePHI encriptada por el 'ransomware' (por ejemplo, personas no autorizadas han tomado posesión o control de la información) y por lo tanto, es una 'divulgación' no permitida bajo la Regla de Privacidad de la HIPAA"-a menos que la entidad cubierta pueda demostrar que hay una "baja probabilidad de que la PHI haya sido comprometida." La responsabilidad recae sobre la entidad cubierta para demostrar esta baja probabilidad, y requiere la realización de una evaluación de riesgo que considere como mínimo los siguientes cuatro factores:

  1. La naturaleza y el alcance de la PHI involucrada, incluyendo los tipos de identificadores y la probabilidad de re-identificación
  2. La persona no autorizada que utilice la PHI o a quien se le hizo la divulgación
  3. Si la PHI fue realmente adquirida o vista
  4. La medida en que el riesgo para la PHI ha sido mitigado

En Guardia: Tome la Ofensiva

lock

Dada la omnipresencia del chantaje cibernético y su creciente amenaza para las entidades del sistema de salud, esto podría parecer como que no es un problema de si, sino más bien de cuando, su empresa de O&P se verá afectada.

"Usted debe asumir que esto va a pasar," dice Dustin Bastin, CEO Director General de la empresa "Elevated Computer Specialists", de Colorado Springs, Colorado, un proveedor de servicios gestionados.

Mientras que nuestros expertos coinciden en que no hay garantías técnicas que sean 100 por ciento efectivas, hay pasos que usted puede tomar para minimizar su riesgo.

Bastin utiliza un enfoque de seguridad por capas, comenzando con el programa firewall con prevención y detención de intrusiones. El utiliza para un cliente el firewall SonicWALL que está situado en la puerta de enlace de la red del cliente. "Este puede reconocer la actividad maliciosa, puede bloquearla y puede notificarme si algo está pasando," él explica, añadiendo que como un proveedor de servicios gestionados él puede de forma remota y proactiva manejar los Sistemas de Informática (IT) de sus clientes.

Un filtro en la casilla de correo no deseado puede ser usado para bloquear mensajes de correo electrónico con algunas extensiones, como .exe y .js para archivos de JavaScript, que son más propensos a ser utilizados por los piratas (hackers). Pero si un pirata lo manipula para eludir el filtro de correo no deseado y el correo electrónico llega a su bandeja de entrada y usted abre el mensaje, entonces el programa antivirus y/o firewall debe detectar la actividad maliciosa. "Si su antivirus en la puerta de enlace no detiene la actividad maliciosa y el filtro de la casilla de correo no deseado tampoco lo consigue, entonces el antivirus de la computadora que está vinculado con un buen programa anti-malware será lo próximo," dice Bastin. "Y si ese no lo atrapa, entonces yo tengo lo que se llama una política de restricción de software."

Bastin explica que hay dos tipos de políticas de restricción de programas. La política de la lista negra, que bloquea la localización específica en una computadora en que un programa "ransomware", como lo es CryptoLocker, es reconocido que funciona. Sin embargo, las firmas en los mensajes de piratas cibernéticos constantemente están siendo cambiadas, por lo que mantener una política de lista negra se convierte en un esfuerzo reaccionario. Por esta razón Bastin usa una política de lista blanca que permite identificar solamente los programas que deben ejecutarse en ese ordenador. "El resultado final es que usted no tenga un programa en ejecución del que usted no conoce nada," comenta él.

También hay ajustes básicos de seguridad que una empresa puede implementar, tales como los bloqueos de ordenadores y servidores después de tres intentos fallidos de contraseñas y una inflexible política empresarial que requiere de una contraseña segura con un mínimo de símbolos y caracteres.

Debido a que las firmas de los mensajes de chantaje cibernético son creadas diariamente, el programa antivirus es tan bueno como lo era con la última actualización, advierte James Cannady, PhD, profesor de seguridad informática en la Facultad de Ingeniería y Computación de la Universidad Nova Southeastern, y experto en programas ransomware. "Tu quisieras tener la versión más reciente de un programa antivirus para cualquier sistemas que pueda estar expuesto." En los hospitales y los establecimientos de salud, a menudo hay máquinas además de los ordenadores, como los dispositivos móviles, que pueden recibir datos y archivos que también necesitan ser protegidos, dice él.

Nelson sugiere que las clínicas tengan francas conversaciones francas con su equipo de Informática (IT) sobre las técnicas de seguridad. "Pregúnteles a quemarropa: '¿Qué protecciones tenemos instaladas... si recibimos un chantaje cibernético?' Nunca será del todo agradable pero deben estar [suficientemente] cómodos para poder responder la pregunta," dice él. Si la respuesta no es satisfactoria, la clínica tiene que seguir preguntando hasta que el grupo de empleados de IT implemente soluciones con las que ellos se sientan cómodos, dice.

Las clínicas también deben asegurarse de que los proveedores a quienes ellos envían sus ePHI o quienes tienen acceso a ellos cumplen con la HIPAA y toman las precauciones adecuadas contra las amenazas de ciberseguridad de cualquier tipo, dice Bastin. "Con cualquiera que usted haga negocios, debe firmar un Acuerdo de Socio de Negocios (BAA por sus siglas en inglés)... donde conste que ellos están haciendo su parte y todo lo que esté en sus manos para mantener la seguridad.

"Los hackers van por lo que es fácil," añade. "Si se les dificulta lo suficiente, van a pasar a la siguiente persona, a menos que piensen que usted tiene algo muy sustancioso que valga la pena. El objetivo del juego es lograr que el acceso a su sistema informático sea lo más difícil posible."

La Mejor Defensa Es la Educación-y un Buen Apoyo

La principal defensa para evitar convertirse en víctima de un ataque de chantaje cibernético es la educación, dicen nuestros expertos. Las clínicas de O&P deberían entrenar a su personal sobre la conciencia de seguridad cibernética y las políticas a tener en relación con el uso de ordenadores, instalación de programas y los sitios web que se deben evitar.

"Entrene a sus usuarios sobre cómo evitar los ataques de suplantación de identidad (phishing), [y] reconocer que existen riesgos en internet-dependiendo de qué sitio web usted visite, por lo que es posible que usted mismo descargue el programa contaminado que causa los ataques de chantaje cibernético," dice Nelson. "Incorpore entrenamiento en ransomware dentro del material de capacitación para usuarios-como los empleados-para que de esta manera ellos entiendan lo que este ataque es, por qué puede ser tan devastador, en qué forma se relaciona con los correos electrónicos que ellos reciben, o con los enlaces que ellos abran-todos los diferentes elementos necesarios para una buena formación de sensibilización respecto a la suplantación de identidad es requerida para que sus usuarios estén preparados o acorazados y tal vez eviten algunos de los ataques por ser usuarios más informados y conscientes de la seguridad."

Bastin está de acuerdo, "La educación es la principal defensa contra esto. Es poder reconocer si algo parece sospechoso o no." Las cosas que requieren precaución incluyen correos electrónicos con archivos adjuntos de remitentes desconocidos, un archivo adjunto a un correo electrónico que se encuentra en una versión obsoleta de Word, un archivo .zip adjunto a un correo electrónico y ventanas de mensajes emergentes (pop-up). "Si usted tiene alguna sospecha o duda sobre la legitimidad del mensaje, envíelo [el e-mail cuestionable] a su técnico de informática, o llame a la persona que le envió el correo electrónico. Estos diez segundos para llamar a alguien y verificar doblemente la legitimidad del mensaje le puede ahorrar horas."

Sin embargo, errar es humano, y a pesar de todas las medidas que pueden tomarse e implementarse, protegerse contra los programas "ransomware" todavía sigue siendo difícil debido a que los criminales son inteligentes, dice Cannady. Por lo tanto, nuestros expertos dicen que la línea número dos en la defensa es tener un sistema de respaldo (back-up) de primera categoría.

"Cualquiera que tenga datos de cualquier valor en su sistema informático debe realizar periódicas copias de seguridad," dice Cannady. "Esto también requiere que esta copia de seguridad esté guardada en otro lugar diferente a su ordenador...."

Por ejemplo, Cannady posee un disco duro portátil con capacidad de un terabyte. Él lo conecta a su ordenador al final de cada día, salva todo el trabajo del día y luego lo desconecta de su ordenador antes de salir de la oficina. Esta solución le permitirá a él volver a formatear su ordenador y empezar de nuevo con todos sus datos en caso de un ataque, eliminando potencialmente la pérdida de datos.

binary graphic with lock

Bastin ha instalado en el ordenador de un cliente un dispositivo de continuidad de negocio que toma cada hora una instantánea de los datos en el servidor, dice él. Estos dispositivos están disponibles en diferentes niveles de precios y pueden ser incluso ubicados fuera del sitio. "Yo mantengo 12 copias de seguridad diariamente, siete semanalmente, un par por mes y una anual...." Si el cliente borra accidentalmente un archivo, o experimenta una caída total del sistema o el encriptado del servidor, Bastin puede restaurar archivos individuales o crear una máquina virtual del servidor para mantener a su cliente funcionando y sin una pérdida significativa de datos o de tiempo.

Mantener una copia de seguridad de datos en la nube es otra alternativa, y una que él recomienda a los clientes del sector salud, a pesar de que todavía no es 100 por ciento infalible, dice Bastin.

Tenga un Plan de Ataque

"La realidad del mundo es que todos estamos interconectados, todos trabajamos con la red.... La comodidad y la facilidad y eficacia proporcionada por los documentos electrónicos es claramente evidente, pero también permite la vulnerabilidad," dice Cannady.

El planeamiento previo en la forma de un plan de continuidad de negocio y un plan de respuesta a incidentes de violación de datos, ambos exigidos por medidas de seguridad administrativas de la HIPAA, según Nelson, pueden ayudar a una clínica de O&P cuando sus datos están comprometidos. Si bien una explicación detallada se encuentra fuera del alcance de este artículo, varias consideraciones son presentadas a continuación, y hay muchos recursos en internet para guiarle en la preparación de ambos tipos de planes.

Nelson compara un plan de respuesta a incidentes de violación de datos con una estrategia que podrían tener los bomberos cuando abordan el incendio de un edificio. Es necesario que haya una estructura de mando y reportes, pasos ejecutables y tareas asignadas. "Tener un detallado plan establecido antes del incidente de cosas como por ejemplo la estructura de mando, quienes toman las decisiones, quienes son sus proveedores externos, y la forma de ponerse en contacto con ellos rápidamente. [Otros factores a considerar incluyen] qué tipo de evento puede ser considerado un incidente, cuál podría necesitar ser reportado, cuál tendría que ser notificado a un nivel administrativo más alto, o cosas de este tipo," dice él.

Si un ataque cibernético es descubierto mientras está en proceso, Nelson dice que es uno de los pocos casos en que aconsejaría a su cliente apagar el ordenador para detener el ataque, y luego revisar para ver qué datos pueden ser salvados. Si el ataque es descubierto después de que la encriptación se haya completado, él le aconsejaría al cliente dejar el ordenador encendido. De cualquier manera, el ordenador debe aislarse del resto de la red. "Lo ideal sería que usted traiga a su clínica a alguien de asesoría legal de forma rápida para ayudar a supervisar y para iniciar los servicios de consultoría..., busque a alguien de Informática Forense rápidamente para determinar el problema."

Bastin advierte respecto a la persona no entrenada que intente eliminar los archivos contaminados porque esta persona puede sin saberlo, eliminar también la clave que podría desbloquear los datos encriptados-como sucedió con uno de sus clientes-lo que dificultó mucho más el poder salvar los archivos.

Además, es posible que usted quiera reportar a las autoridades respectivas que ha sido víctima de un chantaje o ataque cibernético, dice Nelson. La Oficina Federal de Investigaciones (FBI) insta a las víctimas a denunciar los ataques cibernéticos en la oficina local del FBI y/o presentar una queja ante el Centro de Quejas de Delitos de Internet por medio de su portal www.ic3.gov. Si bien es cierto que por cuestión de costos y de los recursos resulta prohibitivo que cada denuncia de ciber-ataque sea investigada, las autoridades han sido exitosas en la obtención de las llaves para abrir muchas variantes de los programas "ransomware," lo que también podría ser de ayuda en su caso especial.

En cuanto a pagar el rescate, el FBI desalienta que se pague el rescate ya que no hay garantía que los archivos serán desbloqueados, y esto alienta este comportamiento nefasto.

Nelson dice en estos casos él aconseja a sus clientes sobre sus opciones pero no proporciona una recomendación de un modo u otro. Es una decisión empresarial que depende de la situación única del cliente. ¿Hay una copia de seguridad o falló la copia de seguridad? ¿Depende el negocio de estos datos para seguir operando? "La gente quizás se siente como si no tienen otra opción que pagar el rescate para mantener el negocio en marcha y servir a sus pacientes, [o] clientes," él añade.

"Al final del día, la clave está en la planificación," dice Cannady. "Vamos a no sólo tener un plan por lo que haremos si esto nos ocurre, vamos a tener un plan para educar a nuestros usuarios para que sean inteligentes cuando estén en nuestros ordenadores. Tengamos un plan sobre qué tipo de programa vamos a tener, cómo van a ser instalados, que tan frecuentemente deben actualizarse, [y] quién es el responsable de esto.... Sabiendo que sus datos están seguros, que usted tiene una copia de los mismos, que usted los ha encriptado para que los malos sujetos no puedan leerlos.... Eso es realmente todo lo que cada uno puede hacer. Y es lo que realmente resuelve la mayoría de los problemas."

Laura Fonda Hochnadel puede ser contactada en .

Traducción al Español
José Paúl Rodríguez M. MD
Médico Fisiatra
Santo Domingo, República Dominicana