El fraude a la sanidad a través de la red crece

0

El pasado mes de Agosto, el FBI alertaba a proveedores de servicios sanitarios de la necesidad de mejorar su protección ante ciber-ataques. Esto era debido a que se había producido un grave incidente en una de las cadenas de hospitales más grandes de EEUU, donde hackers chinos robaron fichas de unos 4,5 millones de pacientes. El fraude a  la Sanidad no para de crecer, porque es un mercado muy lucrativo.

La Sanidad empieza a ser objeto de fraude masivo mediante ciber-ataques

La Sanidad no se libra del hacking. Los expertos de seguridad alertan de la creciente atención que los ciber-atacantes dedican a los registros médicos de pacientes, en hospitales que no cuentan con equipamiento preparado para hacerles frente.

A medida que los atacantes descubren formas nuevas de hacer dinero, la industria de la Sanidad se va convirtiendo en algo más apetecible, ya que los hackers son capaces de vender millones de datos filtrados para obtener beneficios“, según comenta Dave Kennedy, experto de Seguridad en servicios sanitarios en Trusted Sec LLC. Dave también deja claro que:Los hospitales tienen un nivel de seguridad bajo, por lo que es relativamente fácil para los hackers obtener acceso a una gran cantidad de datos personales con los que cometer fraude“.

¿Qué opinan los expertos del sector?

Se han realizado varias entrevistas a líderes de servicio del sector de la Sanidad, así como investigadores de ciber-seguridad y expertos anti-fraude para que arrojen luz sobre el tema.

Según estos equipos, los datos filtrados incluyen nombres, fechas de nacimiento, números de la seguridad social, códigos de diagnóstico e información de facturación. Los defraudadores utilizan estos datos para crear falsos perfiles (IDs) y así poder comprar equipamiento médico o drogas que puedan revender más tarde. También buscan combinar un número de paciente con un falso número de proveedor y documentos relacionados con aseguradoras, según expretos que han investigado estos ciber-ataques en organizaciones sanitarias.

No hay suficiente control

La suplantación de identidad médica no es inmediatamente constatada por el paciente en cuestión o por su proveedor. Esto deja a los cibercriminales un período de gracia (normalmente) de varios años para seguir obteniendo provecho económico. Esto hace los datos relacionados con la Sanidad incluso más vulnerables que las tarjetas de crédito, que suelen cancelarse de forma inmediata cuando se descubre el fraude.

¿Cúanto se paga por esto?

Los datos exfiltrados (extraídos y filtrados posteriormente) pueden venderse por unos 8 € cada ficha, en torno a 15 veces el precio que suele tener un número de tarjeta de crédito, según datos cedidos por PhisLabs, una empresa de protección frente al cibercrimen. Esto se ha comprobado in situ, escuchando en los foros y sitios oscuros de la red donde se efectúan las transacciones.

Ciberataques y fraude en la Sanidad aumentan

El porcentaje de organizaciones sanitarias que han informado de un ciber-ataque criminal ha crecido en torno al 40% entre 2009 y 2013, según datos anuales ofrecidos por el Instituto Ponemon. Desde Ponemon afirman que este año han continuado creciendo tanto el número de ataques, como el número de registros obtenidos por ataques en el sector de la Sanidad.

Tenemos el testimonio de Marc Probst, CIO (Chief Information security Officer) en el Intermountain Healthcare de Salt Lake City. Probst comenta que su hospital bloquea cientos de ataques que intentan penetrar en su red cada semana, aunque hasta ahora no tiene conocimiento de un ataque satisfactorio.

Los datos de los beneficiarios de servicios de Sanidad están en el punto de mira de los ciberdelincuentes

No hay datos exactos sobre la cantidad de ataques y filtraciones de datos de este tipo, entre otras cosas ya que hay un vacío legal por el cual estas organizaciones no están obligadas a publicarlos. Lo que es palpable es el aumento en las costas  de los servicios sanitarios en ciertas situaciones, con lo que el cliente final acaba pagando este tipo de amenazas de una forma u otra.

Se acaba destapando, aunque demasiado tarde para algunos

Los consumidores descubren, a veces, que los cibercriminales han robado sus credenciales porque estos han utilizado su ID sanitario para hacerse pasar por ellos y obtener servicios médicos. Llega el momento en que los servicios no pagados vuelven a cliente legítimo, con lo que todo se acaba descubriendo.

Como caso real, citaremos el de un paciente que comprobó, el año pasado, que su identidad sanitaria había sido suplantada cuando empezó a recibir facturas de una operación de corazón a la que no había sido sometdio. No acaba ahí, pues las credenciales de este hombre también fueron utilizadas para comprar una “scooter para discapacidad” y ciertas piezas de equipamiento médico. Le solicitaban un importe total superior a los 20000 €.

De momento, donde más se habla de esto es en EEUU, aunque ya el año pasado las autoridades de nuestro país comenzaron a tener en cuenta este tipo de ciber-ataques.

Valora y comparte!

  • User Ratings (0 Votes)
    0
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR