Con un coste medio de 1,47 millones de dólares, los parones en operaciones habituales de atención sanitaria por problemas de disponibilidad del sistema, siguen siendo la consecuencia más cara de las amenazas
Índice de temas
Ciberataques a la sanidad en Estados Unidos
Proofpoint y el Instituto Ponemon han publicado los resultados de su tercera encuesta anual sobre ciberseguridad en la atención médica en EEUU. El informe “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024” indica que el 92% de las organizaciones encuestadas experimentó al menos un ciberataque en el último año, con un 69% reportando interrupciones en la atención al paciente.
Entre las organizaciones que sufrieron los ataques más comunes, el 56% tuvo malos resultados en atención al paciente, el 53% reportó complicaciones en procedimientos y el 28% notó un aumento en las tasas de mortalidad. Los ataques a la cadena de suministro afectan especialmente la atención al paciente, con un 68% de los encuestados reportando interrupciones.
Riesgos para los pacientes por culpa de los ciberataques a la sanidad
Estas conclusiones indican que las organizaciones de atención médica siguen luchando por mitigar los riesgos que los ciberataques representan para la seguridad y el bienestar de los pacientes.
Este estudio, en el que han participado 648 profesionales de seguridad y tecnología de la información en organizaciones de servicios médicos de Estados Unidos, detecta que los ataques a la cadena de suministro tienen más probabilidades de afectar la atención al paciente. Más de dos tercios (68%) de los encuestados contaron que sus organizaciones sufrieron un ataque contra sus cadenas de suministro, de los cuales un 82% dijo que interrumpió la atención al paciente, un 77% más que en 2023. BEC lidera el grupo de ataques con mayor probabilidad de dar malos resultados debido a retrasos en procedimientos y pruebas (69%) seguido del ransomware (61%), que también podría resultar en estancias más prolongadas (58%) y un aumento en el número de pacientes desviados o transferidos a otras instalaciones (52%).
Otros hallazgos del informe sobre los ciberataques a la sanidad
Los pagos de ransomware aumentan, a pesar de que las preocupaciones al respecto han bajado
Más de la mitad (54 %) de los encuestados cree que sus organizaciones son vulnerables o muy vulnerables a un ataque de ransomware, respecto al 64% en 2023. Aquellas organizaciones con ataques de ransomware (59% de los encuestados) sufrieron un promedio de cuatro ataques de este tipo en los últimos dos años. Si bien menos organizaciones pagaron el rescate (36% en 2024 frente a 40% en 2023), el rescate pagado aumentó un 10% hasta una media de 1.099.200 dólares en comparación con los 995.450 dólares del año anterior.
Las aplicaciones móviles inseguras y los compromisos cloud o de cuentas se consideran las mayores ciberamenazas para las organizaciones de atención médica:
Las preocupaciones en torno a las aplicaciones móviles inseguras (eHealth) han aumentado hasta convertirse en la principal amenaza de seguridad en la atención médica, subiendo del 51% en 2023 al 59% en 2024. El compromiso cloud/cuenta fue la segunda mayor inquietud (55%); y la mensajería de texto fue la herramienta de colaboración más atacada (61%), seguida del email (59%). En cambio, las empresas están menos preocupadas por los dispositivos móviles de empleados o BYOD.
Se necesitan más avances para reducir el riesgo interno
Más de nueve de cada diez organizaciones encuestadas tuvieron al menos dos incidentes de pérdida o exfiltración de datos que involucraron información sensible y confidencial en los últimos dos años. El 51% dijo que un incidente de pérdida o exfiltración de datos afectó la atención al paciente; de ellos, el 50% experimentó mayores tasas de mortalidad y el 37% tuvo retrasos en procedimientos y pruebas que desembocaron en malos resultados. En los últimos dos años, las organizaciones sufrieron un promedio de 20 incidentes de este tipo con los empleados como causa principal. Su negligencia por no seguir las políticas (31%), la pérdida accidental de datos (26%) y los empleados que envían información de identificación personal o información de salud protegida a un destinatario no deseado por email (21%) fueron los tres principales conductas que motivaron los ataques.
La falta de un liderazgo claro es un problema creciente y una amenaza para el posicionamiento en ciberseguridad de la sanidad
Mientras que el 55% de los encuestados afirma que la falta de experiencia interna de sus organizaciones es el principal impedimento para lograr una postura de ciberseguridad sólida, el desafío que supone la ausencia de un liderazgo claro aumentó significativamente desde 2023 del 14% al 49%, y la falta de presupuesto disminuyó del 47% al 40% en 2024.
Los programas tradicionales de formación en seguridad basados en el cumplimiento se están quedando cortos
Los empleados negligentes suponen un riesgo significativo para las organizaciones sanitarias. Aunque más organizaciones (71% en 2024 frente al 65% en 2023) están tomando medidas para abordar el riesgo de la falta de concienciación de los empleados sobre las amenazas de ciberseguridad, ¿son eficaces para reducir los riesgos? Casi tres de cada cinco encuestados (59%) indican que llevan a cabo programas regulares de formación y concienciación.
IA y aprendizaje automático en sanidad
Por primera vez, se analizó el impacto que la IA está teniendo en la seguridad y la atención al paciente. Más de la mitad (54%) de los encuestados asegura que sus organizaciones han integrado la IA en la ciberseguridad (28%) o la han integrado tanto en la ciberseguridad como en la atención al paciente (26%). El 57% de estos encuestados considera que la IA es muy eficaz para mejorar el posicionamiento de ciberseguridad de las organizaciones, y más de un tercio (36%) utiliza la IA y el aprendizaje automático para comprender el comportamiento humano.
