Los ciberdelincuentes están atacando la atención médica (pero podemos contraatacar)
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
La atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, en el que los delincuentes ataquen las mismas máquinas que diagnostican problemas médicos, brindan tratamientos y mantienen la vida.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.