theNet by CLOUDFLARE

Cómo proteger el acceso remoto de los profesionales de la salud

Tres consideraciones para proteger la modalidad de trabajo híbrido de las organizaciones sanitarias

Muchas organizaciones sanitarias han contratado más trabajadores remotos en los últimos años, pero han tenido dificultades para mantener actualizadas sus estrategias de ciberseguridad. En medio de las presiones financieras y la escasez de personal, han tenido que depender de "soluciones" a corto plazo para proteger a los usuarios híbridos contra ataques cada vez más agresivos.

Por ejemplo, durante la pandemia mundial, cuando más empleados empezaron a teletrabajar, el 51 % de las organizaciones sanitarias gastó menos de 5000 dólares en establecer su consulta híbrida o remota. Algunos ejemplos comunes de ciberseguridad en el sector sanitario fueron la adopción de más redes privadas virtuales (VPN) y la migración de algunas aplicaciones (pero no todas las funciones de seguridad) a la nube.

Sin embargo, estas soluciones a corto plazo hacen que las organizaciones sanitarias sean más vulnerables a los ciberataques. Para aquellos que siguen adoptando un modelo de trabajo híbrido y sus ventajas (entre las que se incluyen la mejora de la satisfacción de los usuarios, la reducción del desgaste y el aumento de la productividad), es necesaria una estrategia de seguridad a largo plazo.

Tres de los principales riesgos del teletrabajo para los trabajadores sanitarios remotos son la dependencia de las VPN, el phishing multicanal y los elementos de Shadow IT. A continuación, mostramos cómo un enfoque Zero Trust moderno aborda esos riesgos de una manera más sostenible.


Desventajas de las VPN

Tradicionalmente, las organizaciones sanitarias se han basado en el modelo de seguridad perimetral, que se centra en proteger el perímetro de red. En un contexto de trabajo híbrido, esto significa utilizar VPN y software de escritorio remoto para comprobar las credenciales de los usuarios remotos y encriptar el tráfico entre los usuarios y las distintas aplicaciones o dispositivos en el entorno corporativo central.

Sin embargo, los riesgos de las VPN , como las vulnerabilidades de zero-day en determinados productos de Ivanti y Palo Alto Networks, y los ataques por fuerza bruta contra las soluciones VPN de Cisco, demuestran los fallos inherentes de un enfoque basado en el perímetro. El acceso VPN es:

  • Demasiado arriesgado: como demuestran los fallos de zero-day encontrados en varias VPN (más ejemplos aquí y aquí), la seguridad de las VPN no es fiable. El acceso a nivel de red y la confianza por defecto que otorgan las VPN también invitan a la posibilidad de movimiento lateral.

  • Demasiado lento: el acceso depende de la ubicación, el dispositivo, la función y el proveedor de identidad del usuario, por lo que el usuario de la VPN puede experimentar latencia.

  • Demasiado ineficiente: las VPN pueden ralentizar la incorporación de usuarios, retrasar la implementación de nuevas aplicaciones y hacer perder un tiempo valioso a los equipos informáticos cuando fallan.

Es comprensible que las organizaciones sanitarias, que se enfrentan a dificultades financieras sin precedentes y a la escasez de personal informático, recurrieran inicialmente a las VPN durante la pandemia. Sin embargo, está más claro que las VPN (que fueron diseñadas para conexiones a corto plazo por un pequeño número de sistemas) no son sostenibles para el alcance cada vez mayor del trabajo sanitario remoto.

El enfoque más eficaz y sostenible es la seguridad Zero Trust. A diferencia de las VPN que entrañan riesgos, los servicios Zero Trust requieren una estricta verificación de la identidad de cada persona y dispositivo que intente acceder a los recursos de una red privada, independientemente de su ubicación.

Por ejemplo, las tecnologías Zero Trust permiten a las organizaciones sanitarias:

  • Verificar cada solicitud de acceso a las aplicaciones en función de algo más que la identidad: antes de conceder acceso a un recurso, se tienen en cuenta la geolocalización, la postura de seguridad del dispositivo, los estándares de seguridad de la empresa, una evaluación continua del riesgo /confianza y otros factores.

  • Inspeccionar y filtrar todo el tráfico de Internet de los usuarios: dondequiera que trabajen los empleados, su navegación por Internet es susceptible de sufrir phishing, malware, ransomware y otros ataques. A diferencia de una VPN, Zero Trust ofrece la capacidad de bloquear los ataques contra el navegador. También puede evitar que los usuarios visiten o interactúen con sitios web sospechosos.


Ataque de phishing

Según un estudio sobre las fugas de datos relacionados con la sanidad de 2015 a 2020, el número de registros de pacientes se ven más vulnerados por estafas de phishing que por cualquier otro motivo.

Por ejemplo, el phishing fue la causa principal de un ataque de ransomware contra la red sanitaria de la Universidad de Vermont (UVM). Empezó cuando un empleado que viajaba utilizó su portátil del trabajo para consultar su correo electrónico personal. Un correo electrónico, que parecía ser de la comunidad de propietarios del empleado, activó malware que permitía a los atacantes moverse lateralmente para acceder a los sistemas de la red de salud de la UVM. El ataque interrumpió las operaciones durante semanas, cientos de empleados no pudieron trabajar, los procedimientos de los pacientes se retrasaron, y la organización sufrió pérdidas de más de 63 millones de dólares.

El phishing basado en ataques al correo electrónico corporativo (BEC), muy selectivo y sin malware, también está en auge. En junio de 2024, el FBI y el Departamento de Salud y Servicios Humanos de EE. UU. emitieron una advertencia sobre atacantes que accedían a las cuentas de correo electrónico de los empleados sanitarios y utilizaban la información de inicio de sesión para desviar los pagos de los seguros.

Para los equipos de trabajo modernos, el trabajo y los datos no están solo en el correo electrónico. Por ejemplo, los SMS (mensajes de texto) y las aplicaciones de mensajería públicas y privadas son vectores de ataque que se aprovechan de la capacidad de enviar enlaces a través de esos canales, y también de cómo las personas utilizan la información y de cómo trabajan. Está la colaboración en la nube, donde los atacantes se basan en enlaces, archivos y el phishing BEC en herramientas como Google Workspace, Atlassian y Microsoft Office 365. Además, también existe el phishing web y social dirigido a personas en LinkedIn y otras plataformas.

Para evitar estos ataques "multicanal", los profesionales sanitarios pueden utilizar un enfoque multicapa que proteja primero el correo electrónico y, a continuación, amplíe la seguridad Zero Trust al resto del tráfico basado en la web.

Con un enfoque Zero Trust para combatir el phishing, las organizaciones pueden:

  • Aislar automáticamente los enlaces de correo electrónico sospechosos y evitar que los dispositivos de los usuarios queden expuestos a contenido web malicioso.

  • Limitar las interacciones de los usuarios con sitios web sospechosos y evitar que los scripts maliciosos alojados en las páginas web se ejecuten localmente en el dispositivo del trabajador.

  • Bloquear directamente el acceso a los sitios de alto riesgo (como los que ya se sabe que participan en phishing)

  • Restringir lo que se puede cargar, escribir o copiar y pegar en aplicaciones de terceros; También se puede evitar que los trabajadores carguen datos privados en herramientas de IA generativa de terceros.


Riesgos de los elementos de Shadow IT

Los entornos de trabajo híbridos aumentan el riesgo de elementos de "Shadow IT", el uso no autorizado de software, hardware u otros sistemas. Según una encuesta de 2024, la mayoría (81 %) de los responsables informáticos de los sistemas sanitarios de EE. UU. declara haber realizado compras de software no autorizado. Y casi la mitad (48 %) no ha verificado el software de su organización en el último año.

Shadow IT es una amenaza especialmente grave para las organizaciones sanitarias. Socava la capacidad de los equipos informáticos para proteger y supervisar los sistemas críticos, y pone en riesgo los datos de los pacientes. Las aplicaciones SaaS no autorizadas, por ejemplo, hacen que sea prácticamente imposible verificar la conformidad con la HIPAA de la información sanitaria protegida (PHI), y aumentan el riesgo de vulnerabilidades de zero-day y fugas de datos.

¿Deberían las organizaciones ir usuario por usuario, archivo por archivo, aplicación SaaS por aplicación SaaS y revisar todo lo que pudiera ser potencialmente problemático? Para la mayoría de las organizaciones, esto no es realista.

Para ayudar a reducir el uso de aplicaciones no autorizadas, implementa formación continua sobre gestión de riesgos para los empleados y una cultura "libre de culpas" (para aquellos que ya hayan adoptado Shadow IT).

Esos enfoques también deben complementarse con controles técnicos Zero Trust que:

  • Proporcionen visibilidad de las aplicaciones SaaS y los orígenes de red que visitan los usuarios. A continuación, las organizaciones pueden crear políticas para permitir, restringir o bloquear el uso de Shadow IT según sea necesario.

  • Protejan las aplicaciones SaaS y otros servicios alojados en la nube analizándolos continuamente en busca de archivos expuestos, actividades sospechosas y configuraciones erróneas (una causa común de las fugas de datos)

  • Reduzcan la exposición de los datos detectando y bloqueando el intercambio excesivo de datos confidenciales a través de la nube, las aplicaciones, el correo electrónico y los dispositivos.


Simplifica la seguridad del trabajo híbrido con una conectividad cloud

Los servicios Zero Trust de Cloudflare consolidan muchos servicios tecnológicos que antes eran distintos para facilitar la protección de cualquier conexión, y mantener a los usuarios seguros y productivos en cualquier dispositivo, en cualquier lugar utilizando Internet, las aplicaciones y la infraestructura. Todos los servicios se prestan mediante una conectividad cloud, una plataforma unificada e inteligente de servicios nativos de nube que simplifica la conectividad segura "universal" en todos los entornos informáticos.

Con la conectividad cloud de Cloudflare, los profesionales sanitarios protegen los datos de los pacientes, promueven experiencias tecnológicas eficaces para los médicos y ofrecen una atención virtual de primera clase, todo ello con mayor agilidad y control.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.



CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Los tres principalesriesgos deciberseguridad para los profesionales de la salud que trabajan en remoto

  • Las desventajas de las VPN para los equipos descentralizados

  • Las ventajas del uso de un modelo de seguridad Zero Trust en el sector sanitario para garantizar el acceso remoto seguro


Recursos relacionados


Más información sobre este tema

Descubre cómo subsanar las deficiencias de seguridad que obstaculizan la innovación en el sector sanitario con el libro electrónico "Modernización de la ciberseguridad en las organizaciones sanitarias".

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?