Sala de Prensa
X63 Unit, unidad de Cipher, desvela la identidad de los ciberdelicuentes que ponen en jaque al sector sanitario
Esto permitirá ampliar los límites de seguridad que establecen las medidas tradicionales, anticiparse, y actuar de forma proactiva ante los posibles ataques.
Madrid, 16 de abril de 2024 – El sector sanitario es uno de los entornos más relevantes y críticos para las sociedades de todo el mundo y, al mismo tiempo, lleva años siendo uno de los principales blancos de los ciberdelincuentes. De hecho, según un informe difundido en 2023 por la Agencia de Ciberseguridad de la Unión Europea (ENISA), el 53% de los incidentes cibernéticos se dirigieron a proveedores de servicios sanitarios, siendo los hospitales el principal objetivo.
Se calcula que alrededor de 40 millones de pacientes se han visto afectados por filtraciones de sus datos personales, historiales médicos y otras informaciones confidenciales durante el pasado año, récord histórico. Pero, lo más grave de todo, son las consecuencias que tienen los ataques para el normal desarrollo de un servicio dirigido a garantizar el derecho a la salud y el bienestar de las personas. Además, el impacto económico es potencialmente elevado, el sector sanitario registró las mayores violaciones de datos, con un coste de casi 11 millones de dólares.
Por todo ello, x63Unit, la unidad multidisciplinar especializada en ciberinteligencia perteneciente a Cipher (la división de ciberseguridad del Grupo Prosegur) se ha marcado como objetivo conocer de forma exhaustiva cuáles son los adversarios digitales del sector salud, identificar sus herramientas y analizar las vulnerabilidades de las que se nutren. Esto permitirá ampliar los límites de seguridad que establecen las medidas tradicionales, anticiparse, y actuar de forma proactiva ante los posibles ataques.
Así, x63 ha analizado cerca de un centenar de vulnerabilidades que han explotado los cibercriminales en el sector de la salud y ha identificado, en un reciente informe, quiénes son los principales actores responsables de los ataques cibernéticos en el sector durante los últimos años:
- Ransomware: los actores más destacados de 2023 dentro del ámbito del ransomware fueron RansomHouse, Lockbit y Blackcat. El primero destaca por su especialización en ataques dirigidos a exponer vulnerabilidades críticas en la seguridad de datos. Lockbit emerge como un adversario de alto riesgo por su constante evolución técnica. Mientras que Blackcat, implementando ransomware-as-a-service, utiliza técnicas avanzadas para comprometer sistemas de forma significativa.
- Amenaza avanzada persistente (APT): según la investigación de x63Unit sobre los grupos APT, estos suelen enfocarse al espionaje y su misión principal suele ser extraer información sensible. En este sentido, FIN8, APT41 y APT22 representan las mayores amenazas de espionaje, con FIN8 centrado en comprometer TPV para el robo de información financiera. Por su parte, APT41 ejecuta campañas globales de espionaje, atacando infraestructuras críticas sanitarias, mientras que APT22 se especializa en ataques prolongados contra la investigación oncológica, explotando vulnerabilidades en servicios web públicos.
- Hacktivismo: el término hacktivismo, fruto de la combinación de las palabras `hacking´ y `activismo´, se basa es el uso de la tecnología y la piratería informática, fundamentalmente, para promover causas sociales o políticas. Los grupos hacktivistas también se han centrado en el sector sanitario, principalmente en ataques de tipo DDoS (ataque de denegación de servicio distribuido), que pueden ser muy perjudiciales cuando afectan a servicios críticos. Grupos como Killnet, ahora “Black Skills”, y Anonymous Sudán, recurren a tácticas como DDoS para impulsar agendas políticas y sociales, afectando directamente a servicios sanitarios esenciales.
- IAB’s (Initial Access Brokers): son actores especializados en vender accesos a empresas, facilitando que otros cibercriminales ejecuten sus ataques. x63Unit ha identificado como IAB’s más destacados a Sapphire, Olive y Teal Cosmos Taurus, que facilitan a las atacantes entradas a redes internas. Sapphire, por su parte, está especializado en intranets de salud, Olive muestra una actividad diversificada y Teal se centra en la venta de accesos a infraestructuras de investigación oncológica.
- Vendedores de filtraciones: se trata de actores dedicados a la divulgación no autorizada de información confidencial. Jade, Violet y Bronze Cosmos Taurus comercializan información confidencial, desde credenciales hasta bases de datos de pacientes, exponiendo tanto a individuos como a entidades de la infraestructura sanitaria.
El sector sanitario, un pilar crítico en la sociedad, se enfrenta a amenazas cibernéticas cada vez más sofisticadas, identificadas meticulosamente en el informe: 68 vulnerabilidades clave dirigidas a sistemas de salud. Este análisis detallado traza un mapa de los riesgos asociados a los actores como RansomHouse en el ransomware y grupos APT como FIN8, que comprometen datos sensibles y sistemas de punto de venta. La información obtenida se traduce en estrategias de prevención y acción temprana, permitiendo a las organizaciones sanitarias mejorar sus defensas y resiliencia frente a ataques de DDoS y otras incursiones. La inteligencia sobre amenazas se convierte en una aliada para facilitar una postura de seguridad más robusta, asegurando que la atención a la salud se mantenga segura y eficiente.