BLOG

Los elevados costes de no asegurar las experiencias digitales de los usuarios de la sanidad

Miniatura de Lane Williams
Lane Williams
Publicado el 10 de mayo de 2022

Cuando se le preguntó por qué atacaba a los bancos, el ladrón de bancos Willie Sutton simplemente respondió: " Porque ahí es donde está el dinero ".

Si el infame Willie Sutton, que dijo esto en la década de 1930, viviera hoy con una visión moderna del crimen de alto rendimiento, tal vez le estaríamos preguntando: "¿Por qué lanzan ciberataques contra empresas sanitarias?"

La razón es clara. El costo promedio de una violación de datos en todas las industrias es de $4,24 millones por incidente. En el caso de la atención médica, el costo asciende a 9,23 millones de dólares por filtración de datos, frente a los 7,13 millones de dólares de 2021, lo que sitúa al sector de la atención médica como el de mayores costos por filtración de datos de cualquier sector, incluidos los de finanzas, productos farmacéuticos, tecnología y energía. 

¿Por qué es más costosa una filtración de datos sanitarios? Las empresas de atención médica tienen una trilogía de información atractiva para los malos actores: información de identificación personal (PII), información de salud protegida (PHI) e información financiera. 

El informe “Costo de una violación de datos 2021 ” de IBM indica que el costo promedio de la información de identificación personal (PII) perdida del cliente es de $180 por registro. También afirma que el vector de ataque inicial más popular son las credenciales comprometidas, que representan el 20% de todos los ataques. Combine esos números con los de EE.UU. Departamento de Salud y Servicios Humanos (HHS) informe que muestra que en 2021 una asombrosa cantidad de 39.630.191 cuentas fueron vulneradas debido a "piratería informática/incidentes de TI". Si asumimos que el 20% de más de 39 millones de cuentas en 2021 fueron vulneradas debido a credenciales comprometidas a un costo de $180 por cuenta, el costo es de más de $1.4 mil millones.

La trayectoria de los delitos relacionados con las violaciones de datos sanitarios

El gráfico anterior muestra el aumento de violaciones de datos reportadas por el HHS desde febrero de 2021 hasta marzo de 2022. 

Una vez que se produce una violación de datos, los actores maliciosos recurrirán a la web oscura para comprar estas credenciales comprometidas. Los actores maliciosos están consolidando las violaciones de datos en colecciones más grandes, denominadas “combolistas”, para que los atacantes puedan comprar una lista mucho más grande de credenciales comprometidas. La “ Colección #I ” está a la venta desde 2019 y contiene 773 millones de direcciones de correo electrónico únicas con sus contraseñas correspondientes.

En un ataque de credential stuffing , los actores maliciosos comprarán estas colecciones de credenciales comprometidas y luego realizarán repetidos intentos de “rellenar” la página de inicio de sesión en muchos sitios web diferentes. Cuando tiene éxito, el atacante toma el control de la cuenta y la utiliza con fines fraudulentos. La tasa de éxito de un ataque de credential stuffing suele ser del 1 al 2 por ciento. Si prueban 1 millón de credenciales comprometidas, los actores maliciosos normalmente pueden acceder a entre 10.000 y 20.000 cuentas. Un ataque de credential stuffing tiene éxito porque las personas tienden a reutilizar y reciclar contraseñas en muchas cuentas, por lo que las que están disponibles en la web oscura son omnipresentes para varias aplicaciones.

El sector sanitario también está empezando a ver bots maliciosos extrayendo cada vez más contenido. En concreto, los bots extraen información sobre planes de salud, explicaciones de beneficios (EOB) y listas de médicos dentro de las redes de proveedores. Los competidores pueden utilizar la información del plan de salud y del EOB para ofrecer precios más bajos e inteligencia competitiva. La información del médico se puede utilizar para campañas de phishing para cobrar pagos y otra PHI de los pacientes.

Cómo adelantarse a los ataques

¿Cuál es la mejor manera de reducir el riesgo de violaciones de datos y ataques de credential stuffing ? No hay una única respuesta, pero un buen lugar para comenzar es adoptar una arquitectura de confianza cero e identificar a los actores maliciosos que abusan de sus aplicações web.

Una arquitectura de confianza cero elimina la idea de una red confiable dentro de un perímetro definido. En otras palabras, es un modelo de seguridad que se centra en verificar cada usuario y dispositivo, tanto dentro como fuera de los perímetros de una organización, antes de conceder acceso. El enfoque de confianza cero se centra principalmente en la protección de datos y servicios, pero puede ampliarse para incluir todos los activos empresariales.

F5 se apoya en gran medida en la Publicación Especial 800-207 del NIST sobre Arquitectura de Confianza Cero para nuestros esfuerzos en torno a la confianza cero, porque proporciona modelos de implementación general específicos de la industria y casos de uso en los que la confianza cero podría mejorar la postura general de seguridad de la tecnología de la información de una empresa. El documento de arquitectura describe la confianza cero para los arquitectos de seguridad empresarial y ayuda a comprender la confianza cero para los sistemas civiles no clasificados. Además, ofrece una hoja de ruta para migrar e implementar conceptos de seguridad de confianza cero en un entorno empresarial.

 

Soluciones para combatir los delitos cibernéticos en el ámbito sanitario

F5 Distributed Cloud Bot Defense y Distributed Cloud Account Protection protegen los sitios web contra el abuso por parte de actores maliciosos. ¿Todos los ataques de credential stuffing que mencionamos anteriormente? Todos provienen de bots automatizados y maliciosos. Las defensas tradicionales, como CAPTCHA y geofencing, son fácilmente eludidas por los actores maliciosos de hoy en día. Incluso existen servicios de alquiler que permiten a los actores maliciosos vencer cualquier tipo de CAPTCHA. Uno de estos sitios, 2captcha.com, proporciona una API para que actores maliciosos puedan eludir programáticamente sus protecciones. 2Captcha resolverá Captcha normal, Captcha de texto, ClickCaptcha, Rotate Captcha, reCAPTCHA V2 y V3, reCAPTCHA Enterprise, FunCaptcha, TikTok Captcha y más.

Distributed Cloud Bot Defense protege las experiencias de aplicação , propiedades web, aplicaciones móviles y transacciones de puntos finales de API contra ataques de bots sofisticados mediante la recopilación inteligente de un conjunto profundo de señales de capa de red HTTP y JavaScript y telemetría de cada transacción del cliente, sin redirigir el tráfico a través de un servidor proxy. La plataforma identifica el comportamiento de automatización de bots maliciosos mediante la aplicación de múltiples capas de inteligencia de aprendizaje automático. El sistema monitorea, señala, detecta e identifica ataques rediseñados y mitiga ataques automatizados en tiempo real.

Debido a la gran cantidad de dinero que fluye en la industria de la salud de EE. UU. y a escala mundial, los malos actores no se detendrán en la automatización. Si puedes mitigar la automatización de los actores maliciosos, estos recurrirán a ataques manuales. La protección de cuentas en la nube distribuida ayuda a las empresas a identificar la intención de los visitantes. Distributed Cloud Account Protection evalúa cada transacción en línea a través de un conjunto de datos biométricos de telemetría, ambientales y de comportamiento, desde la primera vez que un visitante llega a una aplicação web o móvil protegida, hasta la creación de la cuenta o el inicio de sesión, y continuando con todos los aspectos del recorrido del usuario. 

Distributed Cloud Account Protection puede incluso conectar el contexto entre diferentes navegadores y dispositivos operados por el mismo usuario, y aprovechar los conocimientos de su red global de organizaciones para determinar con precisión la intención del usuario. La protección de cuentas en la nube distribuida se puede consumir como un modelo de circuito cerrado impulsado por un motor de fraude de IA que ofrece un puntaje de alta fidelidad para comprender la intención del visitante, o las empresas pueden ingerir datos de protección de cuentas en su propio motor de riesgo y combinarlos con otros puntos de datos de fraude.

El costo de las violaciones de datos y los ataques de credential stuffing está aumentando constantemente en el ámbito de la atención médica. ¿Por qué?Dinero, y mucho. Las empresas pueden ayudar a mitigar este riesgo adoptando arquitecturas de confianza cero y deteniendo los ataques de credential stuffing mediante F5 Distributed Cloud Bot Defense y Account Protection.