SUSCRÍBETE
TIENDA
InicioClínicas y GestiónCiberseguridad en clínicas dentales: la protección ya no es una opción
Clínicas y GestiónGestión
Clínicas y Gestión

Ciberseguridad en clínicas dentales: la protección ya no es una opción

ciberseguridad en las clínicas dentales
Imagen: Freepik.
0

En la era de la digitalización, las clínicas dentales están asumiendo importantes cambios para mejorar sus servicios y, a la vez, optimizar la gestión de datos. Sin embargo, este avance conlleva un reto ineludible: la creciente amenaza de los ciberataques. Desde ataques de ransomware hasta el robo de datos confidenciales, los ciberdelincuentes han puesto su mirada en este sector, que maneja una valiosa combinación de información médica y potencial económico.

Con la digitalización en pleno auge, las clínicas dentales se han convertido en un objetivo atractivo para los
ciberdelincuentes. Para entender el alcance de este problema, hablamos con dos expertos en la materia: Raúl Rodríguez, CTO de Glofera Telecom, y Javier de la Chica Castellano, CEO de iTDent. Ambos destacan que, aunque las clínicas están avanzando en la adopción de tecnologías digitales, la ciberseguridad sigue siendo una asignatura pendiente.

El atractivo de las clínicas dentales para los hackers

Javier de la Chica Castellano, CEO de iTDent.

«En las clínicas que gestionamos, -explica Javier de la Chica-, nuestros sistemas de seguridad detectan y bloquean ataques diariamente. Sin embargo, muchos clientes nos contactan después de haber sido víctimas de un ataque que ha comprometido sus sistemas y operativa diaria, lo que subraya la necesidad de una ciberseguridad proactiva y preventiva».
El principal problema, según los expertos consultados, radica en la percepción. «Muchas clínicas desconocen si están siendo atacadas porque carecen de soluciones tecnológicas que registran incidentes de ciberseguridad. Solo son conscientes cuando la red va muy lenta, los equipos dejan de funcionar o, directamente, pierden datos debido a un ataque de ransomware», señala Raúl Rodríguez. Javier de la Chica confirma esta vulnerabilidad. «Existe la percepción errónea en muchas clínicas dentales de que su tamaño o modelo de negocio las hace invisibles para los ciberdelincuentes. Sin embargo, estas clínicas manejan una combinación atractiva de datos médicos confidenciales y respaldo financiero, lo que las convierte en un objetivo prioritario para los atacantes». Entonces, ¿qué buscan los ciberdelincuentes en las clínicas dentales? Según Rodríguez, dos cosas principales:

  • Filtración de datos. Los datos personales de pacientes como DNI, cuentas bancarias y direcciones son muy valiosos para los ciberdelincuentes. «En este caso no hay un chantaje como tal. Se obtiene el dato y lo que hagan con ese dato, no lo sabemos. Habitualmente, los datos son utilizados para realizar otros ataques de ingeniería social o para vender en mercados en la dark web».
  • Encriptación de datos. Los ataques de ransomware que bloquean el acceso a la información y, en algunos casos, también a las copias de seguridad, dejan a las clínicas completamente paralizadas.

«Aquí el objetivo es cifrar los datos de la clínica, incluyendo las copias de seguridad, para luego exigir un rescate. Incluso si la clínica paga, porque quiere solventar el problema rápidamente, el resultado es una lotería porque pueden darte la clave de desencriptado o no. Y aún dándote la clave, empiezan los chantajes por haber incumplido el Reglamento General de Protección de Datos (RGPD). Por tanto, pagas para volver a acceder al dato y, si pagas, como ven que hay un flujo de caja, vuelven a chantajear por incumplir la ley de protección de datos», advierte Raúl Rodríguez.

«Es imprescindible que las clínicas consideren la ciberseguridad como una inversión clave para prevenir incidentes que puedan poner en riesgo su continuidad operativa»,
Javier de la Chica

Quiénes están detrás de los ciberataques

Lejos del estereotipo del hacker en capucha, los responsables son empresas bien estructuradas. «Estamos hablando de organizaciones estructuradas, que operan desde países donde la ley no les persigue. Es un negocio que mueve más dinero que el tráfico de drogas y armas», revela Rodríguez, quien también desmitifica la rapidez de estos ataques: «No son siempre instantáneos. Un ciberdelincuente puede pasar meses dentro de tu red recolectando datos antes de ejecutar el golpe final». Por eso, es fundamental detectar actividades sospechosas en sus primeras etapas.
A los ciberdelincuentes no les importa si atacan a dos o a dos mil empresas, -subraya de la Chica- ya
que su esfuerzo es prácticamente el mismo: automatizan sus ataques mediante sistemas diseñados para identificar fallos de seguridad en nuestra red o llevar a cabo actividades maliciosas a gran escala, como:

  • Ataques de denegación de servicio distribuido (DDoS). Inundar un servidor o una red con tráfico para interrumpir su funcionamiento.
  • Distribución de malware. Propagar virus, ransomware u otro software malicioso.
  • Spam. Enviar correos electrónicos no deseados en masa.
  • Robo de datos. Acceder a información confidencial desde los dispositivos comprometidos.
  • Fraude en línea. Realizar clics en anuncios o cometer fraudes bancarios.

Además, han incorporado inteligencia artificial en sus estrategias desde hace años, utilizando patrones de uso y conocimiento, así como avanzadas técnicas de ingeniería inversa para perfeccionar sus ataques -advierte de la Chica-. El objetivo final es claro: dejar a las víctimas sin otra opción que pagar. Detrás de estos ataques no hay simples aficionados, sino organizaciones criminales que utilizan los rescates obtenidos para financiarse, normalmente con criptomonedas como el bitcoin, que ofrecen un alto grado de anonimato y dificultan su rastreo.

«El hecho de que la mayoría de las clínicas no inviertan en ciberseguridad es un problema de concienciación real», Raúl Rodríguez

Las consecuencias de un ciberataque

Raúl Rodríguez, CTO de Glofera Telecom.

«Cuando los datos se encriptan, se solicita un rescate, pero pagar no siempre soluciona el problema», comenta Rodríguez. Aunque se entregue la clave de desencriptado, comienzan nuevas extorsiones relacionadas con el RGPD. Por tanto, tras un ataque, las clínicas se enfrentan no solo al problema del rescate o la pérdida de datos, sino también a potenciales sanciones por incumplir el RGPD. Y es que, por Ley, las clínicas están obligadas a reportar un incidente en menos de 72 horas. «Pero, ojo, -advierte Raúl Rodríguez- cuando reportas, te solicitan una información técnica que normalmente, la clínica, si no tenía los medios oportunos para la custodia de este dato, no tiene trazabilidad. Y al no tener trazabilidad, no sabe por dónde ha llegado el ataque, en qué pasos se ha hecho y qué cantidad de información ha podido ser vulnerada. Y por todo ello, al no haber custodiado correctamente los datos, te pueden llegar a sancionar con hasta 600.000 €, ya que estamos hablando de un nivel tres, que corresponde al dato médico».

Otras clínicas optan por no reportar los ataques, pensando que es mejor esconderlo y dejarlo pasar. Sin embargo, Rodríguez advierte que esta decisión puede ser devastadora a largo plazo. «Si un paciente sufre una estafa y se determina que el origen fue una clínica que no reportó el incidente, esta deberá enfrentarse a multas y demandas por daños y perjuicios».
Otro coste que debemos tener en cuenta es el que deriva de tener la clínica paralizada durante varios
días. Mientras los softwares estén bloqueados, el trabajo en la clínica se paraliza. Una última consecuencia de sufrir un ciberataque es la pérdida de reputación y confianza, ya que la clínica está obligada a comunicar a sus pacientes el incidente. «Cuando una clínica comunica a sus pacientes que ha habido una posible fuga de información, la reputación queda muy dañada. Y si decide ocultarlo, el problema puede ser peor cuando salga a la luz», explica Raúl Rodríguez.

Por qué la mayoría de las clínicas dentales no invierten en ciberseguridad

Para Raúl Rodríguez, el hecho de que la mayoría de las clínicas no inviertan en ciberseguridad es un problema de concienciación real. «Muchos piensan que, como son clínicas pequeñas, nadie va a querer su dato y además creen que, al tener copia de seguridad, está todo salvado. Hay una falsa sensación de seguridad. Por eso, cuando piden ayuda, es porque ya han sido atacadas o cuando un colega o un conocido ha sufrido un ataque y se conciencian lo suficiente para tomar medidas y evitarlo».

Es común que muchas clínicas perciban la inversión en ciberseguridad como un gasto adicional, similar a otros costes operativos, lo que dificulta su comprensión como una prioridad estratégica. Sin embargo, esta visión es un error. «Al igual que han destinado recursos a la digitalización y a la seguridad física de la clínica, es imprescindible que consideren la ciberseguridad como una inversión clave para prevenir incidentes que puedan poner en riesgo tanto su continuidad operativa como la confianza de sus pacientes», comenta Javier de la Chica. También hay un falso conocimiento por el que el informático es un experto en todo. «Es posible que el informático sepa cómo establecer un protocolo de seguridad, pero no es su área de especialización. La ciberseguridad es un área muy específica y muy compleja, por eso conviene recurrir a profesionales», justifica Raúl Rodríguez.

«Muchas clínicas desconocen si están siendo atacadas porque carecen de soluciones tecnológicas que registran incidentes de ciberseguridad»,
Raúl Rodríguez

Cómo protegernos: soluciones de seguridad pasiva y activa

Ambos especialistas coinciden en aconsejar que los temas de ciberseguridad sean realizados por profesionales. «Es fundamental que los odontólogos se concentren en su práctica clínica y confíen en especialistas para la gestión de su ciberseguridad. Al delegar en expertos, no solo garantizan la protección de sus datos, sino que también optimizan su tiempo y recursos, asegurando una transición digital segura y eficiente», aconseja de la Chica. Por su parte, Raúl Rodríguez detalla dos enfoques clave para proteger las clínicas:

Seguridad pasiva

  • Autenticación en dos pasos. Hay que establecer protocolos de identificación de usuarios con autentificación en dos pasos, con un código dinámico que cambia cada 30 segundos. Así, cada vez que intentas hacer login te pide ese código. Todo aquello que necesite credencial (entrada al software, al correo de la clínica, abrir el ordenador,…); todo debe tener una autentificación en dos pasos para que, si la contraseña se filtra, los hackers no puedan acceder al sistema. Con esto, la mayor parte de los ataques por login, los evitamos.
  • Protección del puesto de trabajo con sistemas de reconocimiento. Son sensores que monitorizan todos los eventos de los sistemas y que conviene que estén conectados a un servicio de supervisión de personas. Porque de nada vale que tengas un sistema avanzado para detectar ataques en tu sistema, si no lo revisas. Con este sistema, no dejaríamos que nadie estuviera indagando en nuestra red porque lo veríamos.
  • Protección de correos electrónicos. El 88% de los ataques llegan por email. Al correo te puede llegar malware, es decir, un programa malicioso por un vínculo que tiene descarga o accedes a un sitio. También te pueden llegar estrategias de phishing, el típico de una factura de la luz o un correo de la Agencia Tributaria, por ejemplo, que lo que hacen es extraerte información. Hoy en día hay sistemas tecnológicos capaces de mitigar todo esto.
  • Actualización de software. Un software obsoleto es una puerta abierta para los atacantes. Por tanto, hay que tener un control de las versiones de todos los softwares de la clínica. Puesto que en una clínica no
  • suele haber nadie controlando estas cuestiones, lo correcto es contar con una empresa que lo gestione y esté pendiente.
  • Planes para desastres. Si todo lo anterior falla, debemos tener un plan para saber qué hacer en caso de ser atacados. No se trata de tener una copia de seguridad y listo porque necesitamos más como, por ejemplo, un protocolo claro para actuar tras un ataque.

Seguridad activa

  • Formación del personal. Las simulaciones de ataques y la formación práctica ayudan a evitar errores humanos. Se trata de una formación mínima, pero práctica y enfocada en ingeniería social, phishing y sus variantes. Así el empleado va a saber qué hacer con determinadas llamadas o cuando llegan correos dudosos.
  • Custodia mínima de datos. No hay que pedir datos innecesarios. Si, por ejemplo, para hacer cualquier papeleo no necesitas la fotocopia de un DNI, no lo pidas, ya que tendrás que custodiarlo y no dejarlo de cualquier manera en un cajón.

«Existe la percepción errónea en muchas clínicas dentales de que su tamaño o modelo de negocio las hace invisibles para los ciberdelincuentes», Javier de la Chica

La inversión en ciberseguridad, urgente y necesaria

Uno de los principales obstáculos es la falta de recursos dedicados a la ciberseguridad. Muchas clínicas ven esto como un gasto adicional, cuando en realidad es una inversión en su propia continuidad operativa y protección de la reputación de la clínica. «Al final, la prevención siempre resulta más económica que las consecuencias de un ciberataque», cuenta de la Chica. Para este experto, hay medidas sencillas, pero efectivas que cualquier clínica puede adoptar para minimizar significativamente los riesgos:

  • Implementar una seguridad perimetral gestionada por expertos es un primer paso esencial.
  • La segmentación de la red.
  • El uso de contraseñas robustas administradas mediante herramientas especializadas.
  • Creación de múltiples copias de seguridad.

Esto puede marcar la diferencia entre ser vulnerable o estar preparado ante un ataque. Porque «la pregunta no es si te van a atacar, sino cuándo. Por eso, cuanto más difícil sea acceder a tu red, más probable es que el atacante busque otro objetivo más sencillo y accesible», concluye Rodríguez. «Como ves, la ciberseguridad no es un lujo, sino que es una necesidad y una obligación para las clínicas dentales. No solo se trata de proteger los datos de los pacientes, sino también protegerse de un ataque que puede hacernos perder mucho dinero, tanto en multas como en jornadas en las que no es posible trabajar en la clínica por bloqueo de los sistemas».
Al final, la prevención siempre será más barata que las consecuencias de un ciberataque y para saberlo, nada mejor que valorar la pérdida que supone tener la clínica parada durante días, además del daño en la reputación de cara a nuestros pacientes.

Copias de seguridad: la regla del 3-2-1

Muchas clínicas creen erróneamente que tener una copia de seguridad básica es suficiente para protegerse de un ciberataque, pero la realidad es mucho más compleja. No se trata solo de almacenar archivos, sino de garantizar que todo el sistema pueda ser restaurado rápidamente para minimizar la interrupción de las operaciones. Javier de la Chica lo explica claramente: «Hacer una copia de seguridad no es solo copiar ficheros; es asegurarse de que el sistema completo pueda recuperarse, incluyendo configuraciones y software críticos que, de otro modo, podrían tardar días en reinstalarse, paralizando la clínica».

Para lograr esto de manera efectiva, es esencial seguir la regla 3-2-1, una estrategia básica, pero poderosa, en ciberseguridad: tener tres copias de seguridad en total, almacenadas en dos ubicaciones físicas diferentes, y al menos una de ellas fuera de la red de la clínica, ya sea en la nube, en otra sede o incluso en un lugar seguro fuera del entorno digital.

«Tener una copia de seguridad bien gestionada no solo es la mejor defensa contra los ciberataques, sino también la única manera de recuperarse rápidamente si ocurre uno. Si las copias no están correctamente configuradas y almacenadas, el impacto puede ser devastador, obligando a la clínica a empezar desde cero o, en el peor de los casos, a pagar rescates sin garantías de éxito. Por eso, invertir en un sistema de copias de seguridad robusto y bien diseñado no es opcional, es una necesidad crítica para la continuidad del negocio y la protección de los datos de los pacientes», aconseja Javier de la Chica.

Qué hacer si te han atacado

Si no cuentas con sistemas de seguridad y te han atacado, ¿qué puedes hacer? ¿Es mejor pagar y tratar de esconder el incidente para volver a la normalidad? Resulta tentador, pero los especialistas consultados coinciden en que no hay que pagar nunca porque no hay certeza de que te vayan a devolver la información y, además, pueden seguir extorsionando porque ya saben que pagas. Por tanto, si te encuentras en esta tesitura, lo primero es llamar a una empresa de ciberseguridad profesional. Recuerda aquello de que «si te ha atacado un profesional, debes defenderte con otro profesional».

«Si contamos con copias de seguridad tras un ciberataque, el primer paso esencial es verificar que dichas copias no han sido comprometidas y realizar una limpieza exhaustiva de todos los sistemas afectados. Esto se debe a que los atacantes suelen dejar rastros o códigos maliciosos diseñados para reinfectar nuestros sistemas de nuevo. Por ello, antes de recuperar cualquier dato, es imprescindible sanear completamente todos los dispositivos y redes involucradas. Este proceso garantiza que las copias de seguridad no se conviertan en un vehículo para reintroducir el malware y permite restablecer la operativa de la clínica de manera segura y efectiva», explica Javier de la Chica. Además, hay que comunicar al RGPD en menos de 72 horas que has sido atacado y que, por tanto, los datos han quedado expuestos. Asimismo, por Ley, hay que informar a los pacientes que sus datos han quedado expuestos. También hay que crear nuevas cuentas de correo y avisar a nuestra lista de distribución que no abran correos de nuestra anterior cuenta de email.

Igualmente, hay que instalar un sistema de ciberseguridad y mantenerlo. No basta con montar el sistema de seguridad. Hay que mantenerlo, evolucionarlo, monitorizando constantemente porque si los hackers no descansan, nosotros tampoco podemos hacerlo. Conviene también hacer una verificación externa de todo cada año, con el fin de que nadie en la clínica baje la guardia ante este riesgo real.

Artículo anterior
Cómo aprovechar la IA en las clínicas dentales para gestionar y utilizar los datos

Autores

Sonsoles García Garrido

Copywriter de salud y redactora web. Durante 13 años ha sido directora de publicaciones de una editorial dedicada a revistas sanitarias y profesionales y ha sido directora de comunicación de sociedades científicas.

Banner Suscripción a Newsletter de Gaceta Dental

artículos relacionados

Banner Suscripción a Newsletter de Gaceta Dental







POPULAR

TENDENCIAS

NEWSLETTER

¿Quieres ser el primero en recibir la actualidad? SUSCRÍBETE AL NEWSLETTER DE GACETA DENTAL

SUSCRÍBETE

SÍGUENOS

Gaceta Dental es la plataforma de contenidos líder en información y conocimiento para profesionales dentales en habla hispana. Para ofrecer la mejor atención al paciente y no quedarse atrás, el profesional necesita reciclarse constantemente e incorporar la tecnología a su práctica clínica. En este contexto Gaceta Dental es la fuente de referencia de formación e información imprescindible para odontólogos, protésicos e higienistas.