Entre las organizaciones que sufrieron los cuatro tipos de ataques más comunes (compromiso cloud, ransomware, cadena de suministro y compromiso del correo electrónico empresarial o BEC), el 56% obtuvo malos resultados en atención a pacientes debido a retrasos en procedimientos y pruebas, el 53% vio un incremento en complicaciones en torno a procedimientos médicos y el 28% apuntó una subida en las tasas de mortalidad de los pacientes (un aumento de cinco puntos porcentuales respecto al año anterior). Estas conclusiones indican que las organizaciones de atención médica siguen luchando por mitigar los riesgos que los ciberataques representan para la seguridad y el bienestar de los pacientes.
Este estudio, en el que han participado 648 profesionales de seguridad y tecnología de la información en organizaciones de servicios médicos de Estados Unidos, detecta que los ataques a la cadena de suministro tienen más probabilidades de afectar la atención al paciente. Más de dos tercios (68%) de los encuestados contaron que sus organizaciones sufrieron un ataque contra sus cadenas de suministro, de los cuales un 82% dijo que interrumpió la atención al paciente, un 77% más que en 2023. BEC lidera el grupo de ataques con mayor probabilidad de dar malos resultados debido a retrasos en procedimientos y pruebas (69%) seguido del ransomware (61%), que también podría resultar en estancias más prolongadas (58%) y un aumento en el número de pacientes desviados o transferidos a otras instalaciones (52%).
“Nuestro tercer informe anual se ha realizado para determinar si la industria sanitaria está progresando en reducir riesgos de ciberseguridad centrados en el ser humano e interrupciones en la atención al paciente”, explica Larry Ponemon, presidente y fundador del Instituto Ponemon. “Por tercer año consecutivo, encontramos que los cuatro tipos de ataques analizados muestran un impacto negativo directo en la seguridad y el bienestar del paciente. La buena noticia, sin embargo, es que el sector de la salud parece reconocer cada vez más la importancia de la ciberseguridad en los resultados de pacientes: de media, los presupuestos de TI han aumentado y menos profesionales indican que este aspecto es un desafío para evitar que la postura de ciberseguridad de su organización sea completamente efectiva”.
Otros hallazgos clave del informe son:
· Los pagos de ransomware aumentan, a pesar de que las preocupaciones al respecto han bajado: más de la mitad (54 %) de los encuestados cree que sus organizaciones son vulnerables o muy vulnerables a un ataque de ransomware, respecto al 64% en 2023. Aquellas organizaciones con ataques de ransomware (59% de los encuestados) sufrieron un promedio de cuatro ataques de este tipo en los últimos dos años. Si bien menos organizaciones pagaron el rescate (36% en 2024 frente a 40% en 2023), el rescate pagado aumentó un 10% hasta una media de 1.099.200 dólares en comparación con los 995.450 dólares del año anterior.
· Las aplicaciones móviles inseguras y los compromisos cloud o de cuentas se consideran las mayores ciberamenazas para las organizaciones de atención médica: las preocupaciones en torno a las aplicaciones móviles inseguras (eHealth) han aumentado hasta convertirse en la principal amenaza de seguridad en la atención médica, subiendo del 51% en 2023 al 59% en 2024. El compromiso cloud/cuenta fue la segunda mayor inquietud (55%); y la mensajería de texto fue la herramienta de colaboración más atacada (61%), seguida del email (59%). En cambio, las empresas están menos preocupadas por los dispositivos móviles de empleados o BYOD.
· Se necesitan más avances para reducir el riesgo interno: más de nueve de cada diez organizaciones encuestadas tuvieron al menos dos incidentes de pérdida o exfiltración de datos que involucraron información sensible y confidencial en los últimos dos años. El 51% dijo que un incidente de pérdida o exfiltración de datos afectó la atención al paciente; de ellos, el 50% experimentó mayores tasas de mortalidad y el 37% tuvo retrasos en procedimientos y pruebas que desembocaron en malos resultados. En los últimos dos años, las organizaciones sufrieron un promedio de 20 incidentes de este tipo con los empleados como causa principal. Su negligencia por no seguir las políticas (31%), la pérdida accidental de datos (26%) y los empleados que envían información de identificación personal o información de salud protegida a un destinatario no deseado por email (21%) fueron los tres principales conductas que motivaron los ataques.
· La falta de un liderazgo claro es un problema creciente y una amenaza para el posicionamiento en ciberseguridad de la sanidad: mientras que el 55% de los encuestados afirma que la falta de experiencia interna de sus organizaciones es el principal impedimento para lograr una postura de ciberseguridad sólida, el desafío que supone la ausencia de un liderazgo claro aumentó significativamente desde 2023 del 14% al 49%, y la falta de presupuesto disminuyó del 47% al 40% en 2024.
· Los programas tradicionales de formación en seguridad basados en el cumplimiento se están quedando cortos: los empleados negligentes suponen un riesgo significativo para las organizaciones sanitarias. Aunque más organizaciones (71% en 2024 frente al 65% en 2023) están tomando medidas para abordar el riesgo de la falta de concienciación de los empleados sobre las amenazas de ciberseguridad, ¿son eficaces para reducir los riesgos? Casi tres de cada cinco encuestados (59%) indican que llevan a cabo programas regulares de formación y concienciación.
· IA y aprendizaje automático en sanidad: por primera vez, se analizó el impacto que la IA está teniendo en la seguridad y la atención al paciente. Más de la mitad (54%) de los encuestados asegura que sus organizaciones han integrado la IA en la ciberseguridad (28%) o la han integrado tanto en la ciberseguridad como en la atención al paciente (26%). El 57% de estos encuestados considera que la IA es muy eficaz para mejorar el posicionamiento de ciberseguridad de las organizaciones, y más de un tercio (36%) utiliza la IA y el aprendizaje automático para comprender el comportamiento humano.
“Un enfoque de ciberseguridad eficaz centrado en detener los ataques dirigidos a seres humanos es crucial para las instituciones sanitarias, no sólo para proteger los datos confidenciales de los pacientes sino también para mantener la más alta calidad en la atención médica”, concluye Ryan Witt, presidente del consejo asesor de clientes del sector de la salud en Proofpoint. “Este informe incide en que la ciberseguridad es la seguridad del paciente. Proteger los sistemas sanitarios y los datos médicos de los ataques es fundamental para garantizar la continuidad de la atención al paciente y evitar la interrupción de servicios críticos. Si bien la concienciación sobre seguridad es importante, impulsar un cambio de comportamiento sostenido a través de programas adaptados a funciones y responsabilidades específicas ayudará a respaldar tanto la seguridad de la organización como la del paciente”.