Ciberataques sofisticados en sanidad
El sector sanitario se ha convertido en los últimos años en uno de los sectores objetivo prioritario del cibercrimen.
En Estados Unidos, según un informe de Infoblox, el número de ataques de hacking o exfiltración de datos dirigidos a organizaciones sanitarias sigue creciendo, con un incremento del 4% en 2022. En 2022 han sido reportadas 546 exfiltraciones de datos importantes, frente a las 521 reportadas 2021. El crecimiento de este tipo de ataques, y con un incremento considerable entre los años 2018 y 2019. En España el panorama es similar, de acuerdo con diversos estudios de mercado, incluyendo los realizados por el Instituto Nacional de Ciberseguridad (INCIBE).
Los procesos de digitalización y transformación digital aportan claras ventajas a las organizaciones sanitarias, pero también están incrementando la superficie de ataque y la exposición a amenazas. La digitalización está permitiendo al sector sanitario reducir costes, mejorar la atención y la experiencia del paciente y otros beneficios adicionales, pero la rapidez con la que se está realizando el proceso genera en muchas ocasiones riesgos asociados a este incremento de exposición, y el consiguiente riesgo de exfiltración de datos sensibles.
Por otro lado, el entorno regulatorio que afecta específicamente a los servicios de atención médica y a la privacidad de los datos sigue ampliándose. La responsabilidad de garantizar la seguridad de dichos datos recae en las organizaciones sanitarias, que deben cumplir con los requisitos de compliance. Los datos de 2022 han revelado el mismo problema que vimos en 2021: que el sector sanitario aún no está capacitado para hacer frente a las amenazas que llegan de actores sofisticados y bien financiados. El sector se enfrenta a sanciones y litigios, al tiempo que trata de llevar a cabo las inversiones necesarias para reforzar su postura de seguridad Dado el crecimiento del número de violaciones de seguridad exitosas en organizaciones sanitarias en los últimos siete años, se puede decir que el sector sigue enfrentado al reto de dotarse de una estrategia de ciberseguridad adecuada.
Es en este contexto donde una gestión segura de DNS puede aportar un valor diferencial a la hora de reforzar la pila de seguridad de cualquier organización sanitaria. DNS proporciona visibilidad sobre grandes volúmenes de peticiones de DNS realizadas desde y hacia las redes de las organizaciones sanitarias. Disponiendo de visibilidad es posible identificar y bloquear solicitudes de DNS potencialmente maliciosas que podrían ser parte de una cadena de ataque. Las solicitudes de DNS pueden ayudar a identificar si algún dispositivo dentro de la red corporativa se está comunicando con dominios maliciosos conocidos. Una vez identificados, la seguridad de DNS y su ecosistema de defensa cibernética pueden bloquear estas solicitudes para evitar la descarga de código malicioso adicional o intentos de robar información sensible residente en la red.
La mayoría de los controles de seguridad tradicionales tienen visibilidad limitada o nula porque la inspección que realizan de DNS es mínima. Proteger el DNS con controles de seguridad básicos es una pieza fundamental de la pila de seguridad, ya que estos controles son necesarios a la hora de disponer de la visibilidad necesaria para identificar y mitigar las amenazas basadas en DNS. El sistema de políticas de estos controles de seguridad a menudo permite de manera predeterminada todo el tráfico de DNS.
Los proveedores de inteligencia de amenazas son capaces de detectar campañas que usan dominios maliciosos en redes de otras organizaciones. El factor tiempo es clave, pues la lista de dominios cambia constantemente. La detección de túneles DNS, cuando esta funcionalidad está habilitada en sistemas heredados, se basa principalmente en inteligencia de amenazas o firmas para túneles conocidos. Esto no es suficiente, ya que puede haber dominios maliciosos que no aparecen en ningún feed de inteligencia de amenazas.
Las capacidades de aprendizaje automático de los sistemas de detección son muy importantes, sobre todo para detectar a tiempo ataques tipo “zero-day”. Muchas aplicaciones legítimas también canalizan datos a través de DNS. Bloquear todos los túneles DNS no es la solución. El bloqueo de los túneles DNS a menudo puede provocar el bloqueo de herramientas de seguridad, como el software antivirus, que se basan en la tunelización DNS para eludir los firewalls y actualizar los puntos finales. El aprendizaje automático, la detección de dominios maliciosos emergentes, combinado con un profundo conocimiento y experiencia con DNS proporciona a las organizaciones sanitarias los controles de seguridad para protegerse contra ataques de día cero que aprovechan DNS sin bloquear aplicaciones legítimas e importantes.
Los ataques de phishing son un problema importante para el sector sanitario. El phishing es un tipo de ciberataque en el que los actores de amenazas envían correos electrónicos fraudulentos que están diseñados para parecer que provienen de una fuente legítima. El objetivo es atraer a las personas para que proporcionen información confidencial, como credenciales de inicio de sesión, acceso a registros de pacientes e información financiera. Mediante el uso de herramientas como DNS Security Extension (DNSSEC), las organizaciones sanitarias pueden autenticar los registros DNS como provenientes de una fuente válida y legítima.
El malware y el ransomware también se utilizan con frecuencia contra las instituciones sanitarias. La protección contra malware DNS protege a las instituciones de atención médica identificando y bloqueando las solicitudes que buscan dirigirse a dominios maliciosos conocidos, emergentes o inclusos sospechosos. La ingeniería social puede permitir que los atacantes hagan que los médicos visiten un sitio web malicioso, pero la seguridad del DNS evitará que el malware se descargue y ejecute.
En cualquier escenario, la seguridad de DNS puede agregar defensas vitales para ayudar a proteger a las organizaciones de atención médica contra la actividad de los actores de amenazas. Esta protección puede incluir la prevención y mitigación del malware, la identificación de dominios similares de alto riesgo, detección de dominios sospechosos, el phishing y los ataques de exfiltración de datos.
Joaquín Gómez, Cybersecurity Lead para el Sur de Europa, Infoblox