El ataque cibernético conocido como WannaCry que afectó al sistema de salud en el Reino Unido reveló importantes vulnerabilidades en todo el sistema. Según funcionarios del Departamento de Salud (DoH), todas las 200 organizaciones de salud evaluadas no cumplieron con los estándares de seguridad requeridos.
El ataque WannaCry, que comenzó el 12 de mayo, se cree que infectó las máquinas de 81 organizaciones de salud, casi un tercio de los 236 trusts del Servicio Nacional de Salud (NHS) en Inglaterra, además de las computadoras de casi 600 consultorios médicos, según un informe de la Oficina Nacional de Auditoría (NAO) publicado en octubre.
El Centro Nacional de Seguridad Cibernética (NCSC) ha afirmado que es “muy probable” que el ataque haya sido llevado a cabo por una organización cibernética de Corea del Norte conocida como el Grupo Lazarus. A pesar de los aumentos en la provisión de seguridad, Rob Shaw, subdirector ejecutivo de NHS Digital, admitió que las organizaciones de salud aún no cumplen con los estándares de seguridad cibernética y que algunas tienen una “considerable cantidad” de trabajo por hacer.
En una audiencia parlamentaria, Shaw explicó que el departamento había realizado 200 evaluaciones en el lugar, pero ninguna había alcanzado el “alto nivel” establecido por la guardiana nacional de datos, Dame Fiona Caldicott. Algunas organizaciones no cumplieron debido a problemas de actualización de software, que fue la vulnerabilidad explotada por WannaCry.
El informe de la NAO señala que el DoH no pudo proporcionar un costo para el impacto del brote y que es posible que nunca se conozca la magnitud total de los daños. WannaCry fue un tipo de malware conocido como ransomware, capaz de propagarse de una máquina a otra, infectando nuevos equipos en redes corporativas. Una vez que infectaba una nueva máquina, trabajaba silenciosamente en segundo plano para infiltrarse en el sistema operativo, reiniciaba la computadora y comenzaba el proceso de encriptación del disco duro, volviéndolo imposible de leer sin la clave de encriptación. Las víctimas tenían la opción de comprar la clave por $300 (£214).
Este incidente destaca la importancia de la seguridad cibernética en el sector de la salud. Las organizaciones de salud deben tomar medidas para fortalecer sus sistemas y proteger la información confidencial de los pacientes. Además, es fundamental que se realicen evaluaciones regulares de seguridad y que se implementen medidas de protección adecuadas para prevenir futuros ataques cibernéticos.
Esperamos que este incidente sirva como una llamada de atención para todas las organizaciones de salud, no solo en el Reino Unido, sino en todo el mundo, para que tomen en serio la seguridad cibernética y protejan la integridad de los datos de los pacientes.
Fuente del artículo: The Guardian
