Claroty, empresa de protección de sistemas de ciberseguridad online y físicos, ha publicado en la conferencia anual HIMSS24 un nuevo informe que revela datos preocupantes sobre la seguridad de los dispositivos médicos conectados a las redes de organizaciones sanitarias como Hospitales y Clínicas. El informe ‘State of CPS Security Report: Healthcare 2023’ ha descubierto que un 63% de las vulnerabilidades explotadas conocidas (KEVs) rastreadas por CISA afecta a estas redes, y que el 23% de los dispositivos médicos -incluyendo dispositivos de imagen, dispositivos IoT clínicos y dispositivos quirúrgicos- tienen al menos una vulnerabilidad explotada.

En la primera edición centrada en el sector sanitario del informe ‘The State of CPS Security Report’, Team82, el equipo de investigación de Claroty, analiza cómo la creciente integración de dispositivos médicos y sistemas de pacientes online incrementa la exposición y la explotación de vulnerabilidades existentes ante la creciente oleada de ciberataques dirigidos a las actividades hospitalarias. El objetivo de esta investigación es demostrar la amplia conectividad de los dispositivos médicos críticos -desde los sistemas de imagen hasta las bombas de infusión- y describir las implicaciones de su exposición en línea. Las vulnerabilidades y deficiencias de implementación aparecen con frecuencia en las investigaciones del Team82, y se puede trazar una línea directa con resultados potencialmente negativos para los pacientes en cada uno de estos casos.

La conectividad ha impulsado grandes cambios en las redes hospitalarias, creando mejoras espectaculares en la atención al paciente, ya que los médicos pueden diagnosticar, prescribir y tratar a distancia con una eficacia nunca vista”, afirma Amir Preminger, vicepresidente de investigación de Claroty. “Sin embargo, el aumento de la conectividad requiere una arquitectura de red adecuada y una comprensión de la exposición a los atacantes que produce. Las organizaciones sanitarias y sus socios de seguridad deben desarrollar políticas y estrategias que hagan hincapié en la necesidad de dispositivos y sistemas médicos resistentes que puedan soportar intrusiones. Esto incluye un acceso remoto seguro, priorizar la gestión de riesgos e implementar estrategias de segmentación”.

El informe arroja una serie de conclusiones clave:

  • Exposición a redes de invitados: el 22% de los hospitales tiene dispositivos conectados que sirven de puente entre las redes de invitados -que proporcionan acceso WiFi a pacientes y visitantes- y las redes internas. Esto habilita un peligroso vector de ataque, ya que un atacante puede encontrar y apuntar rápidamente a los activos en la WiFi pública, y aprovechar ese acceso como un puente hacia las redes internas donde residen los dispositivos de atención al paciente. De hecho, la investigación del Team82 ha revelado que el 4% de los dispositivos quirúrgicos -equipos críticos que si fallan podrían impactar negativamente en la atención al paciente- tienen conectividad con redes de invitados.
  • Sistemas operativos no compatibles o al final de su vida útil: el 14% de los dispositivos médicos conectados funciona con sistemas operativos incompatibles o al final de su vida útil. De los dispositivos no compatibles, el 32% corresponde a dispositivos de imagen, incluidos sistemas de rayos X y resonancia magnética, que son vitales para el diagnóstico y el tratamiento prescriptivo, y el 7% hace referencia a los dispositivos quirúrgicos.
  • Alta probabilidad de explotación: el informe examinó los dispositivos con altas puntuaciones en el Exploit Prediction Scoring System (EPSS), que representa la probabilidad de que una vulnerabilidad de software sea explotada en una escala de 0-100. El análisis ha mostrado que el 11% de los dispositivos para pacientes, como las bombas de infusión, y el 10% de los dispositivos quirúrgicos contienen vulnerabilidades con puntuaciones EPSS elevadas. Profundizando más, al examinar los dispositivos con sistemas operativos no compatibles, el 85% de los dispositivos quirúrgicos de esa categoría tiene puntuaciones de EPSS elevadas. 
  • Dispositivos de acceso remoto: esta investigación ha examinado qué dispositivos médicos son accesibles de forma remota y ha descubierto que aquellos con un alto impacto en caso de fallo, incluyendo desfibriladores, sistemas de cirugía robótica y puertas de enlace de desfibriladores, se encuentran entre este grupo. La investigación también ha desvelado que se puede acceder a distancia al 66% de los dispositivos de diagnóstico por imagen, el 54% de los dispositivos quirúrgicos y el 40% de los dispositivos para pacientes.

Para acceder al conjunto completo de conclusiones, análisis en profundidad y medidas de seguridad recomendadas por Team82 en respuesta a las tendencias de vulnerabilidades, se puede descargar el ‘Informe sobre el estado de la seguridad de los SPI: Sanidad 2023’.