Los ciberdelincuentes están atacando la atención médica (pero podemos contraatacar)
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
La atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, en el que los delincuentes ataquen las mismas máquinas que diagnostican problemas médicos, brindan tratamientos y mantienen la vida.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo se publicó en Revista Cyber Defense. Se ha actualizado para su distribución aquí.
Los ciberataques se han convertido en una forma de vida en estos días. La gente casi espera escuchar noticias sobre alguna nueva vulnerabilidad o violación que afecte a todo tipo de sectores, desde la banca hasta la aviación, o a dispositivos tan diversos como los teléfonos inteligentes y los semáforos. Incluso nuestros hogares ya no son completamente seguros. Ciudades y pueblos enteros están siendo atacados por parte de los delincuentes casi a diario, y los atacantes exigen millones de dólares en rescate para restablecer los servicios críticos comprometidos.
Pero un lugar en el que, con suerte, aún podríamos sentirnos seguros era en el consultorio del médico o incluso en un hospital. Las personas son más vulnerables cuando acuden a un proveedor de atención médica. La decencia humana casi exigiría que se permitiera a los médicos locales realizar su noble labor en paz. Lamentablemente, eso no está ocurriendo. Parece que hay poco honor —o quizás pura desesperación— entre los ciberladrones de hoy en día. De hecho, la atención médica podría ser el próximo «gran» campo de batalla de la ciberseguridad, ya que los delincuentes atacarían las mismas máquinas que diagnostican problemas médicos, proporcionan tratamientos y mantienen la vida. Ante nuestros ojos se está desarrollando una crisis sanitaria mundial sostenida, es fundamental abordar este problema desde varios puntos de vista.
Las amenazas se están volviendo más personales que nunca.
Los ataques contra la industria de la salud no son nuevos. Los ciberdelincuentes ya conocen el valor que tienen la información de los pacientes, los datos personales y los registros financieros en el inframundo y en la web oscura. Esa información se puede utilizar para robar dinero directamente a los pacientes o como punto de partida para ataques secundarios, como la suplantación de identidad y otras estafas. No es de extrañar, entonces, que muchos de los ataques más devastadores de los últimos tiempos se hayan dirigido a la atención de la salud. Himno A la atención médica se le robaron 80 millones de registros de pacientes. Premera perdió 11 millones de archivos personales. La atención es lo primeroEl total fue de 1,1 millones de registros comprometidos, y la lista sigue y sigue.
En este momento, los ataques dirigidos directamente contra dispositivos médicos parecen poco frecuentes. Sin embargo, al menos un informe sugiere que el problema podría estar mucho más extendido, ya que los hospitales no denuncian las intrusiones o que los empleados sin formación en ciberseguridad simplemente no reconocen que se está produciendo un ataque justo delante de ellos. La capacidad de comprometer los dispositivos médicos de formas aterradoras, como el uso de malware para agregar tumores falsos a los resultados de tomografías computarizadas y resonancias magnéticas, ha sido demostrado de manera concluyente por investigadores de seguridad. No es descabellado pensar que es posible que los atacantes ya estén haciendo lo mismo o algo similar con los dispositivos médicos en el mundo real.
La atención médica también es especialmente vulnerable a los ciberataques gracias a su creciente dependencia de los dispositivos del Internet de las cosas (IoT), pequeños sensores que están conectados a Internet y que producen increíbles volúmenes de información. En su mayor parte, proteger la información producida por esos sensores, los canales que utilizan para comunicarse e incluso los propios sensores ha sido poco más que una idea de último momento. Es probable que la cantidad de vulnerabilidades potenciales que un atacante podría aprovechar escondiéndose en esas redes dominadas por el IoT sea casi ilimitada.
El IoT en la asistencia sanitaria plantea graves riesgos.
Los servicios fundamentales para la atención de los pacientes, que en algunos casos ni siquiera se imaginaban hace 20 años, son caldo de cultivo para las vulnerabilidades basadas en el IoT y otras vulnerabilidades más tradicionales. Al parecer, los historiales médicos electrónicos, la telemedicina y la salud móvil estaban esperando el impulso de información que el IoT podría proporcionar. No es de extrañar que el compromiso con la IoT en el sector de la salud sea asombroso. MarketResearch.com predice que para el año que viene, el mercado de IoT en el sector de la salud alcanzará los 117 000 millones de dólares y, a partir de entonces, seguirá expandiéndose a un ritmo del 15% cada año.
En ese entorno, los atacantes expertos pueden encontrar muchas vulnerabilidades que pueden usarse para explotar dispositivos médicos. Los sensores de IoT integrados en los dispositivos médicos generalmente se comunican y producen sus datos de dos maneras. Algunos recopilan datos y luego transmiten todos sus hallazgos directamente a Internet para su análisis. Otros utilizan una forma de red distribuida conocida como computación en niebla donde los propios sensores forman una especie de minirred, que deciden colectivamente qué datos compartir con un repositorio o plataforma central. Luego, los trabajadores de la salud pueden procesar más a fondo esos datos o acceder directamente a ellos.
Lo que complica aún más las cuestiones de ciberseguridad en la atención médica es el hecho de que la industria nunca ha adoptado ni acordado los estándares, métodos o protecciones de manejo de datos. Históricamente, el sector de la salud ha contado con fabricantes que ofrecían sus propias tecnologías patentadas para dispositivos médicos. En la actualidad, esto incluye los sensores de IoT integrados, los canales de comunicación que utilizan los dispositivos y la plataforma para analizar los datos una vez recopilados. Esto convierte a la mayoría de las redes hospitalarias en el sueño de los piratas informáticos o, al menos, en un excelente campo de pruebas en el que pueden explotar cualquier cosa errores de configuración de seguridad a protección insuficiente de la capa de transporte. Pueden probar cualquier cosa, desde falsificaciones de solicitudes entre sitios a lo clásico Ataques de inyección de XML.
El contragolpe que necesitamos está justo delante de nosotros.
A pesar de las consecuencias potencialmente catastróficas de estas vulnerabilidades siendo explotados, hay algo sobre lo que mantener el optimismo: estos errores de seguridad no son nuevas, poderosas puertas traseras abiertas por los autores intelectuales del crimen. Son tan comunes que resulta frustrante verlos una y otra vez. Una de las razones por las que se muestran tan feas es por el uso de sistemas antiguos que no han sido reparados a pesar de que las correcciones estaban disponibles, pero la otra está relacionada una vez más con el factor humano. Los desarrolladores escriben código a un ritmo vertiginoso y se concentran en un producto final elegante y funcional, no en las mejores prácticas de seguridad.
Simplemente se está creando demasiado software para que los especialistas de AppSec puedan mantenerse al día, y no podemos esperar que salven constantemente el día con estas vulnerabilidades recurrentes. Resulta más barato, más eficiente y, evidentemente, mucho más seguro si estas vulnerabilidades no se introducen desde el principio, y eso significa que los equipos de seguridad y los desarrolladores deben hacer todo lo posible para crear una cultura de seguridad sólida e integral.
¿Qué aspecto tiene exactamente una gran cultura de seguridad? Estos son algunos elementos clave:
- Los desarrolladores cuentan con las herramientas y la formación que necesitan para eliminar los errores más comunes (y entender por qué es tan importante hacerlo)
- La formación es integral, fácil de digerir y aprovecha las fortalezas de los desarrolladores
- Los resultados de la capacitación se miden correctamente, con métricas e informes (no solo un ejercicio de marcar la casilla y avanzar)
- AppSec y los desarrolladores comienzan a hablar el mismo idioma: al fin y al cabo, en una cultura de seguridad positiva, trabajan para lograr objetivos similares.
La posibilidad de un desastre sigue siendo enorme y va mucho más allá del simple robo de la historia clínica de un paciente. Inyectar tumores falsos en una gammagrafía podría dejar devastada a una persona que espera ansiosamente saber si tiene cáncer. Y cambiar los medicamentos o los planes de tratamiento en realidad podría acabar con su vida. Sin embargo, solo hace falta que un ciberdelincuente esté dispuesto a cruzar esa línea para obtener ganancias, y puede garantizar que así será. Quizás la próxima estafa de ransomware no cifre los datos de un hospital, sino que arruine los diagnósticos de miles de pacientes. O tal vez un atacante amenace con alterar los medicamentos a menos que le paguen, con lo que literalmente se queda con la vida a cambio de un rescate.
Está claro que ya no podemos seguir con el enfoque de «seguir como siempre» cuando se trata de ciberseguridad en el cuidado de la salud. No podemos confiar en que uno o dos especialistas de las organizaciones de salud solucionen todos los problemas. En cambio, necesitamos desarrolladores que se preocupen por la seguridad y que trabajen en aplicaciones y dispositivos de atención médica para reconocer los posibles problemas y solucionarlos antes de que se implementen en las instalaciones. E incluso a los trabajadores de la salud les vendría bien una formación básica en ciberseguridad.
Es cierto que no hay nada más importante que su salud. En el sector de la salud, mantener una buena aptitud en materia de ciberseguridad para el futuro dependerá de facilitar una mayor concienciación general sobre la seguridad en la actualidad. Sin un tratamiento serio, este es un problema que solo empeorará.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
