Se calcula que alrededor de 40 millones de pacientes se han visto afectados por filtraciones de sus datos personales, historiales médicos y otras informaciones confidenciales durante el pasado año, récord histórico. Pero, lo más grave de todo, son las consecuencias que tienen los ataques para el normal desarrollo de un servicio dirigido a garantizar el derecho a la salud y el bienestar de las personas. Además, el impacto económico es potencialmente elevado, el sector sanitario registró las mayores violaciones de datos, con un coste de casi 11 millones de dólares=.
Por todo ello, x63Unit, la unidad multidisciplinar especializada en ciberinteligencia perteneciente a Cipher (la división de ciberseguridad del Grupo Prosegur) se ha marcado como objetivo conocer de forma exhaustiva cuáles son los adversarios digitales del sector salud, identificar sus herramientas y analizar las vulnerabilidades de las que se nutren. Esto permitirá ampliar los límites de seguridad que establecen las medidas tradicionales, anticiparse, y actuar de forma proactiva ante los posibles ataques.
Así, x63 ha analizado cerca de un centenar de vulnerabilidades que han explotado los cibercriminales en el sector de la salud y ha identificado, en un reciente informe, quiénes son los principales actores responsables de los ataques cibernéticos en el sector durante los últimos años:
- Ransomware: los actores más destacados de 2023 dentro del ámbito del ransomware fueron RansomHouse, Lockbit y Blackcat. El primero destaca por su especialización en ataques dirigidos a exponer vulnerabilidades críticas en la seguridad de datos. Lockbit emerge como un adversario de alto riesgo por su constante evolución técnica. Mientras que Blackcat, implementando ransomware-as-a-service, utiliza técnicas avanzadas para comprometer sistemas de forma significativa.
- Amenaza avanzada persistente (APT): según la investigación de x63Unit sobre los grupos APT, estos suelen enfocarse al espionaje y su misión principal suele ser extraer información sensible. En este sentido, FIN8, APT41 y APT22 representan las mayores amenazas de espionaje, con FIN8 centrado en comprometer TPV para el robo de información financiera. Por su parte, APT41 ejecuta campañas globales de espionaje, atacando infraestructuras críticas sanitarias, mientras que APT22 se especializa en ataques prolongados contra la investigación oncológica, explotando vulnerabilidades en servicios web públicos.
- Hacktivismo: el término hacktivismo, fruto de la combinación de las palabras `hacking´ y `activismo´, se basa es el uso de la tecnología y la piratería informática, fundamentalmente, para promover causas sociales o políticas. Los grupos hacktivistas también se han centrado en el sector sanitario, principalmente en ataques de tipo DDoS (ataque de denegación de servicio distribuido), que pueden ser muy perjudiciales cuando afectan a servicios críticos. Grupos como Killnet, ahora “Black Skills”, y Anonymous Sudán, recurren a tácticas como DDoS para impulsar agendas políticas y sociales, afectando directamente a servicios sanitarios esenciales.
- IAB’s (Initial Access Brokers): son actores especializados en vender accesos a empresas, facilitando que otros cibercriminales ejecuten sus ataques. x63Unit ha identificado como IAB’s más destacados a Sapphire, Olive y Teal Cosmos Taurus, que facilitan a las atacantes entradas a redes internas. Sapphire, por su parte, está especializado en intranets de salud, Olive muestra una actividad diversificada y Teal se centra en la venta de accesos a infraestructuras de investigación oncológica.
- Vendedores de filtraciones: se trata de actores dedicados a la divulgación no autorizada de información confidencial. Jade, Violet