Informática: prevención del phishing en el sector sanitario
Autor principal: Víctor Pelegrín Hernando
Vol. XV; nº 10; 418
Computing: phishing prevention in the healthcare environment
Fecha de recepción: 18/04/2020
Fecha de aceptación: 18/05/2020
Incluido en Revista Electrónica de PortalesMedicos.com Volumen XV. Número 10 – Segunda quincena de Mayo de 2020 – Página inicial: Vol. XV; nº 10; 418
AUTORES:
Víctor Pelegrín Hernando. Ingeniero Técnico en Informática de Sistemas. Hospital Universitario Miguel Servet, Zaragoza, España.
Wamba Daniel Galindo Asurmendi. Graduado en Ciencia y Tecnología de los Alimentos, Experto Universitario en normativa de protección de datos en el ámbito sanitario. Hospital Universitario Miguel Servet, Zaragoza, España.
Eva Pelegrín Hernando. Graduada en Enfermería. Hospital Universitario Miguel Servet, Zaragoza, España
Resumen:
Introducción: Breve reseña histórica de la informática hasta llegar a la vulnerabilidad de hoy en día conocida como phishing. Adaptación del sector sanitario a las nuevas tecnologías, con mayor lentitud. Entorno corporativo y personal de los hospitales con usuarios a los que se les asigna credenciales.
Objetivo: Conocer qué es el phishing y cómo prevenirlo en el sector sanitario.
Metodología: Búsqueda bibliográfica e investigación de la vulnerabilidad conocida como phishing en el sector sanitario. La búsqueda se ha realizado a través de estándares, catálogos, bases de datos y organizaciones de referencia en seguridad informática.
Conclusiones: No es posible eliminar el phishing en el sector sanitario pero sí de mitigarlo, principalmente con guías de buenas prácticas y formación de todo el personal sanitario y no sanitario.
Palabras clave: informática, seguridad, prevención.
Abstract:
Introduction: Brief historical overview of computing to reach today’s specification known as phishing. Adaptation of the health sector to new technologies, more slowly. Corporate environment of hospitals with users who are assigned credentials.
Objective: Know what phishing is and how to prevent it in the health sector.
Methodology: Bibliographic search of the vulnerability known as phishing in the health sector. The search was carried out through complexes, catalogs, databases and reference organizations in computer security.
Conclusions: It is not possible to eliminate phishing in the health sector but it can be mitigated, mainly with good practice guides and training for all health and non-health personnel.
Key words: computing, security, prevention
Introducción:
Desde los años 60 hasta hoy hemos vivido una revolución tecnológica. El campo de la informática ha sido uno de los mayores impulsores de esta revolución, ha ayudado en gran medida a mejorar la gestión y las comunicaciones de las organizaciones.
El Sistema Nacional de Salud (España) y sus organismos de sanidad autonómicos no han sido una excepción, aunque han tardado más tiempo que el entorno privado a adaptarse a las nuevas tecnologías de la información y comunicación. Se debe a diversos motivos: es un sector tradicional donde sus empleados están muy acostumbrados a trabajar de una forma determinada (“papel y bolígrafo”) y son muy reticentes al cambio cultural y social que implica trabajar con las nuevas tecnologías; la media de edad de su personal es alta y no han nacido en la era tecnológica, esto crea una fuerte barrera al no estar familiarizados con las TICs y por último nos parece importante destacar que en el ámbito sanitario se manejan datos personales que, por su naturaleza, son especialmente protegidos, lo que dificulta la toma valiente de decisiones de mejora en el servicio por medio de las TICs.
A pesar de ello, la situación en los últimos diez años ha mejorado considerablemente. Hoy es impensable que un hospital funcione sin los sistemas de información presentes en él. Tanto personal sanitario como no sanitario se han ido familiarizando con toda esta nueva forma de trabajar con la que pueden consultar y compartir instantáneamente toda la información que necesiten para dar un mejor servicio al ciudadano.
Esto hace que cada miembro del hospital deba tener un usuario y una contraseña para poder utilizar los terminales del centro. Lo más usual es encontrar a un departamento de informática que se encarga de crear sus perfiles y dar las autorizaciones correspondientes para que sólo puedan acceder a lo que realmente necesitan.
Esta situación mejora enormemente la eficacia y eficiencia de los centros sanitarios pero como contrapartida genera riesgos como la seguridad informática. Existen muchos tipos de vulnerabilidades de seguridad pero en este estudio nos vamos a centrar en el “phishing”, tanto en sus consecuencias como en su prevención.
Objetivo:
Conocer qué es el phishing y cómo prevenirlo en el sector sanitario.
Metodología:
Para responder a nuestro objetivo, se ha realizado una búsqueda bibliográfica de la vulnerabilidad mencionada en varios estándares, catálogos, bases de datos y organizaciones de referencia internacional dedicadas a la seguridad informática y que se encuentran en constante actualización.
- Common Vulnerabilities and Exposures (CVE):
Catálogo o lista de información registrada pública sobre vulnerabilidades conocidas.
Administrado por The MITRE Corporation, organización sin ánimo de lucro y de carácter público.
Se encarga de normalizar las vulnerabilidades mediante su descripción.
- Common Vulnerability Scoring System (CVSS):
Estándar gratuito y abierto de la industria que escalona la severidad de las vulnerabilidades mediante fórmulas, comunicando las características y el impacto de cada vulnerabilidad identificada con su código CVE.
- Common Vulnerability Reporting Framework (CVRF):
Estándar en formato XML que permite compartir información sobre problemas de seguridad entre las organizaciones en un marco común.
- National Vulnerability Database (NVD):
Base de datos del gobierno de los Estados Unidos. Incluye bases de datos de listas de verificación de seguridad, configuraciones vulnerables y su mitigación y métricas de impacto.
- Common Weakness Enumeration (CWE):
Estándar internacional y de libre uso que proporciona un lenguaje común para describir debilidades en la arquitectura, diseño y codificación del software.
- CCN-CERT:
“Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.” (10)
Además, complementamos nuestra investigación buscando documentación de portales especializados en seguridad informática, así como principales portales web de los antivirus más conocidos hasta la fecha.
Desarrollo:
¿Qué es el phishing?
Es un conjunto de técnicas que los ciberdelincuentes utilizan para engañar y conseguir que la víctima revele información personal mediante ingeniería social.
En la mayoría de los casos, la estrategia del atacante es enviar un correo electrónico (vector de ataque) a la víctima suplantando la identidad de una organización objetivo por medio de la imitación haciendo creer a la víctima que se requieren sus credenciales por algún motivo justificado y urgente. También se pueden utilizar otros medios como SMS, whatsapp, redes sociales, etc.
Ejemplo práctico de phishing:
Ante la crisis de COVID-19 unos ciberdelincuentes deciden conseguir los correos electrónicos corporativos de un gran número de empleados por distintos métodos y vectores de ataque que no son objetivo de esta investigación.
Una vez consiguen los correos, copian o imitan el portal web del organismo de salud y despliegan el servicio web en un dominio con una URL muy similar a la entidad objetivo o incluso emplean la misma URL, pero el enlace en sí apunta al sitio malicioso.
www.salud.es à www.saludd.es
Tras esto, envían masivamente a todos los correos electrónicos un escrito justificando que debido a la pandemia del COVID-19 se ha saturado el sistema informático y que necesitan resetear todas las cuentas de usuario del hospital y para ello necesitan las credenciales de cada empleado y les exponen el siguiente enlace:
www.saludd.es
La mayoría de los empleados dudará de la veracidad del email pero diversos estudios confirman que un porcentaje de empleados poco formados en buenas prácticas de correo corporativo pincharán el link.
Al pinchar acceden al sitio web copia, donde los atacantes han creado un formulario similar al del portal original, rellenan el formulario escribiendo su usuario y contraseña y pulsan en el botón Enviar.
Ver Imagen I, Anexo I.
En este preciso momento los atacantes consiguen las credenciales de ese usuario y a partir de entonces pueden utilizarlas para un sinfín de delitos informáticos.
Entre las consecuencias más graves en el sector sanitario según nuestra investigación destacarían:
- Robo de historias clínicas electrónicas de pacientes.
- Aumento de privilegios consiguiendo alguna cuenta de usuario privilegiada.
- Ataques de denegación de servicio a los servidores si han conseguido muchas cuentas de usuario, colapsando el sistema sanitario del hospital.
En el momento que estamos realizando esta investigación se está intentado atacar al sistema sanitario español aprovechando la crisis sanitaria del COVID-19. En la web del Centro Nacional de Criptología aparece el aviso de las autoridades:
Ver Imagen II, Anexo I
¿Cómo prevenir el phishing?
Desde el departamento de informática:
Muchas organizaciones implementan planes de seguridad gastando la mayoría del presupuesto destinado en la seguridad perimetral de sus bases de datos y redes por medio de cortafuegos (firewalls), sistemas de detección de intrusiones (IDS), protocolos seguros, sistemas de autenticación seguros, cifrado… Esto es algo muy útil frente a las amenazas pero en muchas ocasiones los técnicos pasan por alto el eslabón más débil de la cadena: los usuarios.
De nada sirve toda la seguridad perimetral si por medio de ingeniería social los atacantes consiguen credenciales de los usuarios. Directamente con esas credenciales se saltan toda la seguridad perimetral de golpe.
Por lo tanto, el departamento de informática debería entender el rol que juega el personal de un hospital en sus sistemas de información y llevar a cabo acciones de prevención como las siguientes:
- Crear, publicar e implantar una política de seguridad y que se obligue a todo el personal de la organización, por igual, desde el director del hospital hasta el último subordinado a cumplirla.
- Definir un conjunto de normas, procesos, procedimientos y guías de buenas prácticas y ponerlas a disposición de todos los trabajadores.
- Formación por medio de cursos de concienciación al personal.
- Recordatorios a los usuarios periódicamente de la importancia de cumplir con la política de seguridad.
- Alertar ante ataques.
- Instalar software anti-phishing disponible en el mercado e integrarlo en los navegadores web y correos electrónicos de los empleados.
Como usuarios:
- “Reconocer el phishing cuando reciban mensajes pidiendo que revele información personal. Una organización legítima jamás le pedirá por correo electrónico información sensible a sus usuarios.” (6)
- “No pinchar enlaces de correos sospechosos y mucho menos rellenar formularios con nuestras contraseñas en caso de haber pinchado.” (6)
- Comprobar que el portal web de sanidad donde se trabaja empiece por https:// y que el navegador muestre el icono de un candado cerrado. Este protocolo se trata del protocolo de transferencia de hipertexto seguro en el cual la transmisión de los datos se produce cifrada. Sin embargo, deberíamos desconfiar de las webs que empiecen por http:// ya que no son seguras y las credenciales introducidas se transmiten sin cifrar, es decir, en texto plano y legible.
- “No abrir correos electrónicos no solicitados o sospechosos.” (6)
- “Mantener sus contraseñas en absoluto secreto y no revelarlas a nadie. Ni tan siquiera a compañeros de trabajo, amistades o familia.” (6)
- “Comprobar exhaustivamente la URL del sitio al que accedemos para autenticarnos. La URL ilegítima puede parecerse mucho a la legítima.” (6)
- “Comprobar el dominio. Puede ser .com cuando realmente debería ser .gov.” (6)
- “Mantener actualizado el navegador web, sistema operativo y antivirus. En caso de no saber hacerlo o no tener autorización, contactar con el departamento de informática.” (6)
- “Saludo genérico. Los correos electrónicos de phishing pueden no estar dirigidos específicamente a un usuario, normalmente los atacantes los envían a muchísimos correos con la misma estructura para no invertir su tiempo en especificar un saludo personalizado a cada posible víctima. El saludo suele ser del tipo “Estimado señor o señora”. “(7)
- Alerta y prudencia ante remitentes desconocidos.
- Los atacantes suelen pedir que se realice alguna acción inmediata. Juegan con sentimientos y sensaciones de los usuarios como el miedo, la angustia, la curiosidad…No se debe responder a una solicitud sea cual sea apresuradamente.
¿Qué se debe hacer ante la sospecha o incertidumbre de haber sido víctimas de phishing?
- Ponerlo inmediatamente en conocimiento de los superiores jerárquicos y contactar con el departamento de informática.
- El departamento de informática una vez avisado revisará los daños ocasionados por los atacantes, los mitigará y restablecerá la contraseña del usuario.
Conclusiones:
No existe una forma de eliminar el phishing por completo, pero sí de reconocerlo y evitarlo si los usuarios están concienciados y formados de esta vulnerabilidad.
Además, existe software especializado de antivirus y antiphishing que reconoce, evita e incluso elimina los correos electrónicos sospechosos. Por desgracia estos filtros no tienen una efectividad del 100%.
La conclusión principal es que no podemos eliminar el riesgo pero si mitigarlo enormemente combinando software especializado, departamento de informática especializado en seguridad informática y concienciación y seguimiento de buenas prácticas por todo el personal del hospital.
La gerencia debe entender esta vulnerabilidad y aportar los recursos necesarios al departamento de informática para que se produzca su mitigación.
Bibliografía
- Common Vulnerabilities and Exposures (CVE): https://cve.mitre.org/cve/ .Last updated or Reviewed: March 20, 2020.
- Common Vulnerability Scoring System (CVSS): https://www.first.org/cvss/ . Last updated: February 19, 2001.
- Common Vulnerability Reporting Framework (CVRF): https://www.icasi.org/cvrf/ . 2020
- National Vulnerability Database (NVD): https://nvd.nist.gov/ . 2020
- Common Weakness Enumeration (CWE): https://cwe.mitre.org/index.html . Page Last Updated: February 20, 2020
- Antivirus Avast: Phishing https://www.avast.com/es-es/c-phishing . 2020
- Norton Internet Security Antivirust: Phising https://us.norton.com/internetsecurity-online-scams-what-is-phishing.html . 2020
- Kaspersky Internet Security: Phishing https://latam.kaspersky.com/resource-center/preemptive-safety/what-is-phishings-impact-on-email . 2020
- Panda Internet Security: Phishing: https://www.pandasecurity.com/es/security-info/phishing/ . 2020
- Centro Criptológico Nacional: CCN-CERT: https://www.ccn-cert.cni.es/ . Actualizada a Abril 16, 2020
- Centro Criptológico Nacional – CERT: Cómo evitar ser víctima del phishing: https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9286-como-evitar-ser-victima-del-phishing-nuevo-ciberconsejo-del-ccn.html . Publicado 20 Diciembre 2019
- CNN-CERT AV 34/18: Campaña de phishing contra el Sector Salud: https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/6957-ccn-cert-av-34-18-campana-de-phishing-contra-el-sector-salud.html . Publicado 14 Septiembre 2018
- CCN-CERT AL 05/20 Repunte campañas de phishing por COVID-19: https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/9716-ccn-cert-al-05-20-repunte-campanas-de-phishing-por-covid-19.html . Publicado19 Marzo 2020