Buscan robar información personal de pacientes.
El creciente uso de soluciones de seguridad en instituciones del sector salud, obligó a los ciberdelincuentes ha centrar sus ataques en los empleados de estas instituciones, para que mediante engaños suministren información personal o sensible de los pacientes para cometer fraude de identidad lo cual se ha acrecentado con el uso de dispositivos móviles a los que se pueden conectar equipos no autorizados a la red.
Los cibercriminales adoran los registros médicos por incluir nombres completos, fechas de nacimiento, información familiar, números de seguro social, direcciones, números telefónicos, historia clínica, información de los parientes más cercanos y una amplia variedad de información personal que les permite un abanico de opciones para cometer fraudes utilizando esos datos.
Susan Biddle, directora senior de Mercadeo para el sector del Cuidado de la Salud en Fortinet, señaló la conveniencia, no sólo de continuar fortaleciendo las soluciones tecnológicas de seguridad, sino capacitar a los empleados pues estudios recientes revelan que sólo 35 por ciento de los altos directivos, entienden los riesgos de vulnerabilidad en sus sistemas y califican la ciberseguridad como una prioridad.
“Las violaciones de datos y pérdida de información causadas por el error de algún empleado o simplemente por pura negligencia están aumentando y los profesionales de Tecnología Informática (TI) en el área de la salud tienen que tomar nota”, insistió la especialista.
Precisó que una forma de operar de los ciberdelincuentes es a través de email e ingeniería social destinada a engañar a los empleados para que suministren información personal o sensible, como nombres de usuario y contraseñas de la red.
“Es muy común para los invasores que hoy usan la ingeniería social, tomarse el tiempo para conocer sobre el empleado y crear direcciones de correo electrónico y mensajes creíbles adaptados al blanco de los ataques. Los cibercriminales usan regularmente fraudes de identidad por etapas (recolectando paulatinamente la información) para obtener y usar lo que aprenden en contra de otro empleado y así aparentar legitimidad al mismo tiempo”, explicó.
Una vez que estos atacantes logran obtener la información que necesitan, acceden al sistema usando los nombres de usuario y contraseña que han adquirido, o instalar malware para robar o poner en peligro la información de los pacientes.
El riesgo se acrecienta cuando los empleados incorporan el uso de dispositivos electrónicos propios como tabletas o teléfonos móviles a sus ambientes corporativos de TI lo que que abre más la posibilidad de que se conecten equipos no autorizados a la red ante el creciente número de aparatos compatibles.
Aunque las aplicaciones que están disponibles en tiendas oficiales suelen ser seguras, muchas de las veces las aplicaciones piratas encuentran camino a los dispositivos conectados e incluso cuando los empleados descargan aplicaciones comprometidas pueden inadvertidamente introducir spyware o malware en la red de sus empresas y dar acceso a datos sensibles mediante el dispositivo comprometido.
Lo mismo ocurre cuando los empleados acceden a sitios infectados, a veces ignorando protocolos que bloquean esos sitios, lo que pueden exponer a robo o corrupción, la información almacenada en sus equipos personales o incluso en la red de la compañía.
Estos mismos empleados usualmente son propensos a “ataques del intermediario” (man-in-the-middle attacks), que ocurren cuando un actor malicioso oculto se introduce en una conversación entre dos individuos en un intento de obtener información o ganar finalmente acceso a la red corporativa.
Susan Biddle enfatizó que frente a los crecientes ataques, las organizaciones del sector salud deben acrecentar la capacitación de su fuerza laboral mediante entrenamientos continuos y asegurarse de probar regularmente a sus empleados para evaluar sus conocimientos. Además, es importante que los directivos sean el ejemplo e incorporen el liderazgo también en ciberseguridad con medidas simples como bloquear la pantalla al retirarse.
Concluyó, tras detallar que los equipos de seguridad de TI tienen que tomar en cuenta la realidad del error humano cuando planifiquen y desplieguen sus soluciones de seguridad dando margen a errores que pueden corregirse oportunamente.
C$T-EVP