Hospitales y centros de atención médica: Un objetivo cada vez más común de los ciberataques masivos

La tecnología facilita la medicina moderna, pero también obliga a estas instituciones a adoptar nuevas técnicas para proteger sus redes. “Todos los hospitales hacen todo lo posible por concienciar a su personal sobre los peligros digitales actuales”, explica Filip Goyens, responsable de protección de datos (DPO) en el UZA, “y nosotros lo hacemos apostando fuertemente por Phished”.

Las organizaciones que son víctimas de ransomware u otro tipo de malware suelen tener dos opciones: pagar el rescate para recuperar el control de su red o esperar pacientemente a que el departamento de TI libere la red mediante copias de seguridad. Para las instituciones sanitarias, ninguna de estas opciones es alentadora: son organizaciones donde los recursos se destinan principalmente al cuidado de los pacientes, y los retrasos prolongados pueden tener graves consecuencias. El concepto de “infraestructura crítica” adquiere una dimensión especial en este tipo de entornos.

“En los últimos dos años, hemos trabajado intensamente para dar mayor prioridad a la concienciación sobre ciberseguridad”, afirma Goyens. “Nos reunimos regularmente con otros responsables de protección de datos de hospitales para compartir mejores prácticas; la e-salud no es algo desconocido para nosotros. Los recientes ataques a grandes hospitales (por ejemplo, en Tournai y Mol) demuestran que esto es absolutamente necesario. Cada hospital tiene su propio enfoque, y el nuestro se centra en el uso de la plataforma Phished.” 

En los últimos dos años, el UZA ha realizado grandes avances en su política de concienciación sobre ciberseguridad. Mientras que antes utilizaban métodos tradicionales de información, como folletos y una revista trimestral para el personal, hoy en día apuestan decididamente por soluciones digitales. 

“Hace tiempo que usamos los protectores de pantalla de los ordenadores de nuestra red para difundir información útil de forma rápida, incluso sobre prevención de phishing y ransomware”, explica Goyens. “Sin embargo, seguíamos notando que muchas personas eran vulnerables a estas prácticas.”

“No es que hayamos sufrido grandes incidentes”, añade Goyens, “pero en el pasado sí tuvimos pequeños problemas que, por suerte, pudimos resolver rápidamente. Sin embargo, como institución sanitaria, no queríamos esperar hasta ser víctimas de un ataque importante. Por eso, hace dos años realizamos una auditoría externa, y los resultados nos animaron aún más a buscar una solución integral.” 

En la medición inicial realizada por Phished, aproximadamente el 30 % de los destinatarios cayó en la trampa del phishing. En tan solo unos meses, esta cifra se redujo al 8 %. 

“Vemos claramente el retorno de la inversión”, señala Goyens. “Gracias a los informes detallados, hemos visto cómo las cifras disminuyen semana tras semana, lo que nos da mucha satisfacción y tranquilidad. El reciente incidente de Facebook fue una nueva confirmación de lo importante que es ser cuidadosos, no solo con los sistemas, sino también con los datos personales. Un buen resultado en las simulaciones de phishing refuerza nuestra sensación de que estamos cumpliendo con nuestra responsabilidad.”

“Además, ahora podemos actuar de manera mucho más rápida cuando detectamos que un empleado o incluso un departamento entero necesita apoyo adicional. También confiamos en el algoritmo para formar a nuestros compañeros, y las cifras demuestran que funciona.”

El UZA está trabajando actualmente en la creación de un centro de operaciones de seguridad centralizado para facilitar la colaboración entre los diferentes departamentos de TI responsables de la prevención de ciberataques. Esto les permitirá responder de manera más efectiva a posibles problemas y optimizar las medidas de prevención.

Phished desempeña un papel clave en estos planes gracias a la facilidad de las simulaciones de phishing automatizadas, los informes detallados y la actualización automática de la base de empleados. En grandes organizaciones como el UZA, la escalabilidad es un factor clave.