La seguridad cibernética es una preocupación constante en todos los sectores, pero especialmente en el de la atención médica. La confidencialidad de los datos de los pacientes es crucial para garantizar la calidad de la atención médica y la confianza del público en las instituciones de salud. Recientemente, se ha revelado una preocupante brecha de seguridad en varias organizaciones de atención médica que ha involucrado el uso de ScreenConnect Remote Access. En este artículo, exploraremos en detalle esta violación de la seguridad, cómo ocurrió y qué medidas pueden tomar las organizaciones para protegerse en el futuro.
ScreenConnect Remote Access es una herramienta de software que permite a los usuarios acceder de forma remota a otros dispositivos, como computadoras, servidores y estaciones de trabajo. Fue diseñada originalmente para ser una solución conveniente para el soporte técnico y la administración de sistemas, permitiendo a los profesionales de TI solucionar problemas y realizar tareas de mantenimiento sin necesidad de estar físicamente presentes en el lugar. Sin embargo, como cualquier tecnología, ScreenConnect Remote Access también puede ser utilizada de manera maliciosa cuando cae en manos equivocadas.
Expertos en ciberseguridad han emitido una advertencia sobre la actividad de piratas informáticos que están dirigiéndose a diversas organizaciones de atención médica en los Estados Unidos mediante la explotación de la herramienta de acceso remoto ScreenConnect.
Los actores maliciosos están aprovechando las instancias locales de ScreenConnect utilizadas por Transaction Data Systems (TDS), un proveedor de soluciones de gestión de sistemas y cadenas de suministro farmacéuticas que opera en los 50 estados del país.
El equipo de investigación de la plataforma de seguridad administrada Huntress ha identificado estos ataques y ha confirmado su presencia en las infraestructuras de dos organizaciones de atención médica distintas. Además, se ha observado actividad que sugiere una fase de reconocimiento de la red, posiblemente en preparación para futuros ataques. Las intrusiones detectadas tuvieron lugar entre el 28 de octubre y el 8 de noviembre de 2023, y existe una alta probabilidad de que continúen produciéndose.
Te podría interesar leer: Wazuh en el Sector Salud: Protección de Datos Médicos
Según Huntress, los ataques comparten tácticas, técnicas y procedimientos (TTP) similares. Esto incluye la descarga de una carga útil denominada "text.xml", lo que sugiere que un mismo actor está detrás de todos estos incidentes.
El archivo .XML contiene código C# que carga una carga útil del ataque Metasploit Meterpreter en la memoria del sistema. Se utilizan métodos que no involucran PowerShell para eludir la detección. Además, se ha observado la iniciación de procesos adicionales mediante el servicio Printer Spooler.
Los dispositivos comprometidos operan en sistemas Windows Server 2019 y pertenecen a dos organizaciones diferentes, una en el sector farmacéutico y la otra en el sector de la atención médica. La conexión común entre ellas es el uso de una instancia de ScreenConnect.
Los atacantes utilizaron la herramienta de acceso remoto para instalar cargas útiles adicionales, ejecutar comandos, transferir archivos e instalar AnyDesk. También intentaron crear una nueva cuenta de usuario para mantener el acceso persistente. Los investigadores han establecido que la instancia de ScreenConnect está vinculada al dominio 'rs.tdsclinical[.]com', asociado con TDS.
Podría interesarte leer: Salud y Datos: Seguridad en Dispositivos Médicos
La brecha de seguridad en organizaciones de salud a través de ScreenConnect Remote Access tiene consecuencias graves y duraderas. En primer lugar, pone en riesgo la privacidad de los pacientes, ya que la información médica y personal sensible puede ser robada y utilizada de manera indebida. Esto puede llevar a problemas como el robo de identidad, el fraude médico y la violación de la confidencialidad médica.
Además, estas brechas pueden tener un impacto económico significativo en las organizaciones de atención médica. La recuperación de una violación de seguridad puede ser costosa, ya que las organizaciones deben realizar investigaciones forenses, notificar a los pacientes afectados y tomar medidas para remediar la vulnerabilidad que permitió el acceso no autorizado. Además, la pérdida de confianza del público puede resultar en una disminución en la cantidad de pacientes que buscan atención médica en esas organizaciones.
Podría interesarte: Costo de Inacción en Ciberseguridad
Dada la gravedad de la situación, es esencial que las organizaciones tomen medidas para protegerse contra brechas de seguridad de ScreenConnect Remote Access y otras amenazas cibernéticas. Aquí hay algunas recomendaciones clave:
Actualizaciones y Parches: Mantener el software y los sistemas actualizados con los últimos parches de seguridad es esencial para cerrar posibles vulnerabilidades que los hackers puedan aprovechar.
Autenticación Fuerte: Implementar políticas de autenticación fuerte, como el uso de contraseñas robustas y la autenticación de dos factores (2FA), para evitar que los hackers obtengan acceso a las credenciales de inicio de sesión.
Monitoreo de Actividad: Supervisar de cerca la actividad en la red y utilizar herramientas de detección de amenazas para identificar y responder rápidamente a comportamientos sospechosos.
Restricción de Acceso: Limitar el acceso a ScreenConnect Remote Access y otras herramientas de administración remota solo a usuarios autorizados y aplicar políticas de acceso basadas en el principio de "necesidad de saber".
Formación de Empleados: Capacitar a los trabajadores en prácticas de seguridad cibernética y concientizar sobre los riesgos de la ingeniería social para que estén alerta ante posibles ataques.
Plan de Respuesta a Incidentes: Tener un plan de respuesta a incidentes sólido en su lugar para manejar de manera eficiente cualquier violación de seguridad que ocurra y minimizar el impacto.
La brecha de seguridad en organizaciones de atención médica a través de ScreenConnect Remote Access es un recordatorio de la constante amenaza que representa la ciberdelincuencia en el sector de la salud. Proteger los datos de los pacientes y la infraestructura informática de las organizaciones de atención médica debe ser una prioridad. Siguiendo las mejores prácticas de seguridad cibernética y manteniendo una postura de vigilancia constante, las organizaciones pueden reducir significativamente el riesgo de futuras brechas de seguridad y garantizar la confidencialidad de los datos de los pacientes.