Durante un período de doce meses, los investigadores de TrendAI analizaron 7.779 publicaciones en foros clandestinos, 21.813 anuncios de mercado y 95 sitios de fuga de ransomware relacionados con el cibercrimen en el sector de la salud. Los resultados muestran: los datos de salud siguen siendo uno de los bienes más demandados en el mercado criminal subterráneo. Su durabilidad, sensibilidad y la posibilidad de utilizarlos para diversas formas de fraude y extorsión al mismo tiempo los hacen especialmente atractivos para los delincuentes.
Ransomware como motor del comercio clandestino
Las ventas de datos resultantes de incidentes de ransomware representaron más de un tercio (36,3 por ciento) de toda la actividad del mercado. Los actores de ransomware cada vez más combinan cifrado con robo de datos y extorsión. Además, los investigadores identificaron un creciente enfoque en los proveedores de registros de salud electrónicos. Un solo ataque exitoso puede comprometer cientos de instalaciones sanitarias aguas abajo.
El informe también muestra que los cibercriminales ya no se limitan a la venta de conjuntos de datos completos. En los mercados subterráneos, los datos de salud se utilizan cada vez más como base para el robo de identidad, el fraude de seguros, los certificados y recetas falsos, así como para la toma de control de cuentas de pacientes y empleados. Por lo tanto, los conjuntos de datos robados se pueden monetizar varias veces a lo largo de los años.
“Los datos de salud han pasado de ser información robada a activos que los cibercriminales pueden utilizar a largo plazo”, explica Mayra Rosario, investigadora principal de amenazas en TrendAI. “A diferencia de una tarjeta de crédito, no es posible bloquear y emitir de nuevo un diagnóstico, historial de tratamiento o datos biométricos de un paciente, lo que los hace especialmente atractivos para grupos de ransomware y traficantes de datos.”
De delincuente solitario a cadena de suministro criminal
El estudio también analiza la creciente industrialización del cibercrimen en el sector de la salud: los mercados clandestinos ahora ofrecen una amplia gama de bienes, desde datos de acceso a redes hospitalarias y datos de seguros hasta paquetes completos de identidad y documentos médicos falsificados.
El papel de los llamados Corredores de Acceso Inicial está creciendo fuertemente. Estos actores especializados obtienen acceso a redes de hospitales, clínicas o proveedores de servicios de salud y luego lo venden a grupos de ransomware u otros cibercriminales. La división del trabajo reduce las barreras de entrada para los atacantes y acelera la comercialización de ataques a instalaciones de salud.
“No estamos observando casos aislados, sino una economía clandestina sofisticada que se ha desarrollado específicamente en torno a los ataques cibernéticos al sector de la salud”, dice Dirk Arendt, Director de Gobierno, Público y Salud DACH en TrendAI. “Los incidentes recientes en Alemania y en todo el mundo muestran claramente cómo los datos de los pacientes están en el punto de mira de los cibercriminales y deben protegerse mucho mejor.”
Proveedores de software como puerta de entrada: riesgo con efecto multiplicador
El estudio también advierte que las compromisos de la cadena de suministro a través de proveedores de software y plataformas médicas se están convirtiendo en un amplificador de riesgos central para todo el sector. Permiten a los atacantes escalar sus operaciones mucho más allá de hospitales o clínicas individuales.
Sistemas de imagen médica no protegidos a nivel mundial
Paralelamente, los investigadores de TrendAI identificaron riesgos significativos en los sistemas de imagen médica conectados a Internet. Una investigación separada encontró 3.627 servidores DICOM públicamente accesibles en más de 100 países. DICOM (Digital Imaging and Communications in Medicine) es el estándar central para el intercambio de datos de imágenes médicas como resonancias magnéticas, tomografías computarizadas o radiografías.
Se descubrió que era particularmente crítico que, aunque DICOM ha apoyado durante décadas mecanismos de seguridad como el cifrado, la autenticación y los controles de acceso, estos apenas se utilizan en la práctica. Solo el 0,14 por ciento de los sistemas identificados utilizaban el cifrado TLS prescrito, mientras que el 99,56 por ciento aceptaban conexiones sin verificación efectiva de autenticación. El informe advierte que esto permite a los atacantes espiar datos de pacientes, manipular datos de imágenes médicas, introducir ransomware o moverse lateralmente en redes hospitalarias.
Más información
El informe completo 'The Cybercriminal Underground: Mapping the Healthcare Data Economy' se puede encontrar aquí: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal-underground- mapping-the-healthcare-data-economy
El informe completo 'Exposed DICOM Servers and the Risk to Patient Data' se puede encontrar aquí: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden- vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data
Contacto de prensa TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Teléfono: +41 44 254 80 00
Correo electrónico: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Suiza