En la conferencia Virus Bulletin en Madrid, una enfermera pediátrica advirtió a los asistentes sobre la necesidad de tomar en serio la seguridad en el Internet de las Cosas (IoT, por sus siglas en inglés). Jelena Milosevic, quien ha desarrollado un interés en ciberseguridad en los últimos tres años, destacó la importancia de que el sector de la salud colabore con expertos en seguridad de la información y fabricantes para abordar el problema emergente del riesgo de seguridad que plantea el equipo médico conectado a Internet. Según Milosevic, no hay necesidad médica de que estos dispositivos estén conectados a la red las 24 horas del día. Además, es fundamental que exista una regulación gubernamental que establezca estándares de seguridad básicos.
Milosevic abogó por la divulgación coordinada de vulnerabilidades, un proceso en el que los investigadores de seguridad trabajan con los fabricantes para solucionar problemas antes de hacerlos públicos. Los proveedores de IoT tienen fama de ser lentos tanto en reconocer como en remediar problemas de seguridad. “No puedes simplemente comprar seguridad, tienes que construirla”, afirmó Milosevic. Su pensamiento en este tema coincide con el de expertos en seguridad de la información como Bruce Schneier.
La seguridad y la privacidad se han vuelto cada vez más importantes en los hospitales. Los sistemas obsoletos albergan una gran cantidad de información personal, médica y financiera que los inescrupulosos podrían fácilmente monetizar. Según Milosevic, a menudo se descuida la privacidad y la protección de los registros informáticos, y el cuidado de los dispositivos utilizados en los hospitales se considera una idea secundaria. Esto significa que las computadoras y otros dispositivos rara vez se actualizan y se exponen con frecuencia a vulnerabilidades. El comportamiento delictivo puede pasar desapercibido durante largos períodos de tiempo y, sin controles de seguridad adecuados, los registros de los pacientes podrían ser manipulados. Es necesario construir la seguridad desde cero y complementarla con programas de concientización.
Milosevic argumentó que los hospitales necesitan procesos y procedimientos de seguridad de la información de la misma manera que necesitan protocolos para el tratamiento de los pacientes. Los ataques de ransomware contra hospitales han sido destacados en noticias nacionales tanto en Europa como en América, siendo el ejemplo más destacado el ataque WannaCry que afectó gravemente a muchos hospitales del Servicio Nacional de Salud (NHS) en el Reino Unido. Según Milosevic, no se ha confirmado ninguna pérdida de vidas debido a WannaCry, pero agregó que “los mayores problemas son aquellos que aún no conocemos”.
En resumen, la seguridad en el Internet de las Cosas es un tema crítico en el sector de la salud. Es fundamental que los hospitales trabajen en colaboración con expertos en seguridad de la información y fabricantes para establecer estándares de seguridad y proteger la privacidad de los pacientes. La construcción de la seguridad desde el principio y la implementación de programas de concientización son pasos clave para garantizar la protección de los registros médicos y prevenir posibles ataques cibernéticos.
