Recientemente se ha publicado la tercera encuesta anual sobre los efectos de la ciberseguridad en la atención médica, realizado conjuntamente por Proofpoint y el Instituto Panemon. En este informe se puede observar como el 92% de las organizaciones de atención médica experimentaron algún tipo de ciberataque en los últimos 12 meses, de los cuales, el 69% conllevó la interrupción en la atención al paciente.
Entre las organizaciones que sufrieron los cuatro tipos de ataques más comunes (compromiso cloud, ransomware, cadena de suministro y compromiso del correo electrónico empresarial o BEC), el 56% obtuvo malos resultados en atención a pacientes debido a retrasos en procedimientos y pruebas, el 53% vio un incremento en complicaciones en torno a procedimientos médicos y el 28% apuntó una subida en las tasas de mortalidad de los pacientes (un aumento de cinco puntos porcentuales respecto al año anterior). Estas conclusiones indican que las organizaciones de atención médica siguen luchando por mitigar los riesgos que los ciberataques representan para la seguridad y el bienestar de los pacientes.
Este estudio, en el que han participado 648 profesionales de seguridad y tecnología de la información en organizaciones de servicios médicos de Estados Unidos, detecta que los ataques a la cadena de suministro tienen más probabilidades de afectar la atención al paciente. Más de dos tercios (68%) de los encuestados contaron que sus organizaciones sufrieron un ataque contra sus cadenas de suministro, de los cuales un 82% dijo que interrumpió la atención al paciente, un 77% más que en 2023. BEC lidera el grupo de ataques con mayor probabilidad de dar malos resultados debido a retrasos en procedimientos y pruebas (69%) seguido del ransomware (61%), que también podría resultar en estancias más prolongadas (58%) y un aumento en el número de pacientes desviados o transferidos a otras instalaciones (52%).
“Nuestro tercer informe anual se ha realizado para determinar si la industria sanitaria está progresando en reducir riesgos de ciberseguridad centrados en el ser humano e interrupciones en la atención al paciente”, explica Larry Ponemon, presidente y fundador del Instituto Ponemon. “Por tercer año consecutivo, encontramos que los cuatro tipos de ataques analizados muestran un impacto negativo directo en la seguridad y el bienestar del paciente. La buena noticia, sin embargo, es que el sector de la salud parece reconocer cada vez más la importancia de la ciberseguridad en los resultados de pacientes: de media, los presupuestos de TI han aumentado y menos profesionales indican que este aspecto es un desafío para evitar que la postura de ciberseguridad de su organización sea completamente efectiva”.
Otros hallazgos clave del informe son:
- Los pagos de ransomware aumentan, a pesar de que las preocupaciones al respecto han bajado: más de la mitad (54 %) de los encuestados cree que sus organizaciones son vulnerables o muy vulnerables a un ataque de ransomware, respecto al 64% en 2023. Aquellas organizaciones con ataques de ransomware (59% de los encuestados) sufrieron un promedio de cuatro ataques de este tipo en los últimos dos años. Si bien menos organizaciones pagaron el rescate (36% en 2024 frente a 40% en 2023), el rescate pagado aumentó un 10% hasta una media de 1.099.200 dólares en comparación con los 995.450 dólares del año anterior.
- Las aplicaciones móviles inseguras y los compromisos cloud o de cuentas se consideran las mayores ciberamenazas para las organizaciones de atención médica: las preocupaciones en torno a las aplicaciones móviles inseguras (eHealth) han aumentado hasta convertirse en la principal amenaza de seguridad en la atención médica, subiendo del 51% en 2023 al 59% en 2024. El compromiso cloud/cuenta fue la segunda mayor inquietud (55%); y la mensajería de texto fue la herramienta de colaboración más atacada (61%), seguida del email (59%). En cambio, las empresas están menos preocupadas por los dispositivos móviles de empleados o BYOD.
- Se necesitan más avances para reducir el riesgo interno: más de nueve de cada diez organizaciones encuestadas tuvieron al menos dos incidentes de pérdida o exfiltración de datos que involucraron información sensible y confidencial en los últimos dos años. El 51% dijo que un incidente de pérdida o exfiltración de datos afectó la atención al paciente; de ellos, el 50% experimentó mayores tasas de mortalidad y el 37% tuvo retrasos en procedimientos y pruebas que desembocaron en malos resultados. En los últimos dos años, las organizaciones sufrieron un promedio de 20 incidentes de este tipo con los empleados como causa principal. Su negligencia por no seguir las políticas (31%), la pérdida accidental de datos (26%) y los empleados que envían información de identificación personal o información de salud protegida a un destinatario no deseado por email (21%) fueron los tres principales conductas que motivaron los ataques.
- La falta de un liderazgo claro es un problema creciente y una amenaza para el posicionamiento en ciberseguridad de la sanidad: mientras que el 55% de los encuestados afirma que la falta de experiencia interna de sus organizaciones es el principal impedimento para lograr una postura de ciberseguridad sólida, el desafío que supone la ausencia de un liderazgo claro aumentó significativamente desde 2023 del 14% al 49%, y la falta de presupuesto disminuyó del 47% al 40% en 2024.
- Los programas tradicionales de formación en seguridad basados en el cumplimiento se están quedando cortos: los empleados negligentes suponen un riesgo significativo para las organizaciones sanitarias. Aunque más organizaciones (71% en 2024 frente al 65% en 2023) están tomando medidas para abordar el riesgo de la falta de concienciación de los empleados sobre las amenazas de ciberseguridad, ¿son eficaces para reducir los riesgos? Casi tres de cada cinco encuestados (59%) indican que llevan a cabo programas regulares de formación y concienciación.
- IA y aprendizaje automático en sanidad: por primera vez, se analizó el impacto que la IA está teniendo en la seguridad y la atención al paciente. Más de la mitad (54%) de los encuestados asegura que sus organizaciones han integrado la IA en la ciberseguridad (28%) o la han integrado tanto en la ciberseguridad como en la atención al paciente (26%). El 57% de estos encuestados considera que la IA es muy eficaz para mejorar el posicionamiento de ciberseguridad de las organizaciones, y más de un tercio (36%) utiliza la IA y el aprendizaje automático para comprender el comportamiento humano.
