Por: CP Alexander Camargo M. Colaborador de Auditool.
Todo lo que vemos en el mundo real se replica en la red y en sentido contrario. Nuestra capacidad de procesamiento crece en forma que era impensada algunos años atrás. Pero, con este crecimiento, el cibercrimen está cada vez más latente en nuestra vida diaria.
El pasado 28 de noviembre, intenté conectarme con mi proveedor de servicios de salud por teléfono, por WhatsApp, por la app de mi proveedor y, como último recurso, intenté hacerlo por la oficina virtual. Al final, todo fue infructuoso. Lo único que sabía era que la página no estaba disponible.
El día siguiente, a las 6 p. m., recibí el primer mensaje que informaba a los usuarios de los servicios de salud que la entidad había sido objeto de un ciberataque y que estaba trabajando 24 horas para dar la continuidad a la atención de sus afiliados.
En la página de Infobase, sin embargo, se reporta que “Tres días después del ataque cibernético que sufrieron los servidores de la empresa prestadora de servicios de salud (EPS) el pasado domingo 27 de noviembre, los pacientes y usuarios están enfrentando un calvario para acceder a la agenda de citas médicas, imágenes diagnósticas y dispensación de medicamentos” e informa que posiblemente el ataque sufrido corresponde a un ransomware.
Un ransomware es una modalidad de extorsión digital en la cual los ciberdelincuentes secuestran los datos y extorsionan al propietario para liberarlos. Un ransomware también se reconoce como el software malicioso que, al infectar nuestro equipo, le da al ciberdelincuente la capacidad de bloquear un dispositivo desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. El virus lanza una ventana emergente en la que nos pide el pago de un rescate, dicho pago se hace generalmente en moneda virtual.
Según el informe de Amenazas cibernéticas 2022 de SonicWall, este tipo de ataque concentra el mayor número de titulares y ocupa el segundo lugar en las preocupaciones después del phishing. Según este informe, Colombia es uno de los 10 países con un mayor volumen de ataques ransomware en 2021 al ocupar el sexto lugar. Las características de este ataque se han venido innovando y ahora encontramos:
- Ataques que incluyen la nueva táctica de la "triple extorsión" en la que, además de extorsionar a la entidad, también extorsionan a personas incluidas en los datos utilizando filtros para identificar quién podría tener más que perder y luego exigir un rescate.
- Ataques a la Infraestructura. Casi todas las facetas de la vida cotidiana están amenazadas por ransomware: hospitales, departamentos de policía, plantas de agua, la tubería de combustible, productores de alimentos y escuelas.
En mi experiencia como auditor, en empresas de diferentes tamaños, en las pymes existe una baja conciencia de este riesgo y, en muchas, no existe una cultura de riesgos y seguridad de la información. Sin embargo, que un actor importante del sector sea objeto de este ataque y que sus RPO y RTO puedan llegar a tomar más de una semana, constituye una campana de alerta para que la Superintendencia de Salud tome cartas en el asunto.
RPO: el objetivo del punto de recuperación se refiere a la cantidad de datos que se pueden perder dentro del periodo mas relevante para una empresa, antes de que ocurra un daño significativo, desde la perspectiva de un evento critico hasta la copia de seguridad con mayor presencia.
RTO: el objetivo de tiempo de recuperación se refiere a la cantidad de tiempo que una aplicación, sistema o proceso puede estar inactivo sin causar un daño significativo a la empresa, así como el tiempo dedicado a restaurar la aplicación y sus datos.
Pues bien, la tecnología que soporta el sector salud debe ser como los proveedores de servicios de salud que mantienen adecuados programas de prevención. Como vemos, en ciberseguridad es mejor prevenir que curar.
Los temas que debemos revisar como auditores incluyen:
- ¿Están los datos separados física y lógicamente, es decir los datos están adecuadamente aislados?
- ¿Se preserva la confidencialidad e integridad de datos con capas de seguridad y controles?
- ¿Se utilizan técnicas de aprendizaje automático y de análisis que ayudan a garantizar la capacidad de recuperación?
Las normas de gestión de riesgos en el sector salud vienen avanzando. Sin embargo, para lograr un sistema de salud resiliente y para garantizar la continuidad de las operaciones del sector se requiere fortaleza cibernética.
Para finalizar, no podemos olvidar que "la soga siempre se quiebra por lo más delgado" y los ciberdelincuentes lo saben.
El estudio antes mencionado, nos muestra diferentes ataques de ramsonware y concluye que “estos ataques podrían haberse evitado con una mejor higiene de las contraseñas y autenticación multifactor”. Se demostró que las entidades objeto de los ataques compartían contraseñas, sus colaboradores no eran obligados a cambiar las contraseñas o se usaban contraseñas que podían ser adivinadas fácilmente con el uso de ataques de fuerza bruta.
Si bien la ciberdefensa se ha vuelto más sofisticada y especializada con el tiempo, en algunos casos la prevención más simple sigue siendo una de las mejores estrategias.
CP Alexander Camargo M
Contador Público, CFCS “Especialista Certificado en delitos financieros”, Especialista en Control Interno de la Universidad Militar Nueva Granada, con Maestría en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía, adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda. www.auditorescyg.com
- https://www.facebook.com/Cygauditor
- https://www.linkedin.com/company/cygauditore/
- https://www.instagram.com/auditorescyg/
Escribir un comentario