Algunos sectores disponen de datos más confidenciales y operaciones complejas que el sector sanitario. Sin embargo, pocos sectores lo tienen tan difícil para mantenerlos a todos protegidos.
Los ciberataques están revelando datos personales.
El Ransomware se está dirigiendo a las salas de emergencia, los emails fraudulentos están infectando a organizaciones sanitarias, asociaciones de pacientes y personal sanitario. Estas amenazas están dañando seriamente la capacidad de atención de los pacientes por parte del sector salud.
Para ayudar a las instituciones sanitarias a comprender mejor la evolución de los ciberataques contra los proveedores de la atención médica, organizaciones farmacéuticas y aseguradoras de salud, los hemos analizado durante el período de un año. Durante el análisis de cientos de millones de correos electrónicos maliciosos hemos detectado una nueva tendencia: los ciberataques actuales están dirigidos a las personas y no solo a las infraestructuras.
Para ello, engañan al personal sanitario para que abran un archivo adjunto o enlace inseguro que lleva al malware. Este se hace pasar por miembro de su equipo directivo instando al personal a enviar dinero o información clasificada. Después, estafan a los pacientes aprovechándose de la confianza que estos tienen por el prestigio de la marca de la organización.
Los datos de este informe están comprendidos entre el período del segundo trimestre de 2018 hasta el primer trimestre de 2019. Además, hemos encontrado tendencias similares en el segundo trimestre de 2019.
Ciberataques de Malware
Malware es un término general para una amplia gama de códigos maliciosos e instalados en los sistemas y servidores de los usuarios. Las variedades más sofisticadas combinan las capacidades de dos o más tipos de malware, y a menudo, hemos encontrado malware utilizando técnicas avanzadas para evitar la detección.
Emotet es un excelente ejemplo. El malware era considerado un troyano bancario, pero ha evolucionado para convertirse en una herramienta que distribuye spam y roba información entre otras actividades maliciosas. Como resultado, ahora lo clasificamos como malware de botnet.
Emotet fue el primer malware encontrado en correos electrónicos enviados a empresas de atención médica en el primer trimestre. Se trata de la primera aparición en los últimos trimestres de botnets como categoría de malware dirigido al sector sanitario.
Por otro lado, el ransomware, que estaba muy activo en el segundo trimestre de 2018, ha desaparecido a grandes rasgos en los cuartos siguientes. Los ladrones de datos, downloaders y RATs también han disminuido durante dicho período, aunque no tan drásticamente.
Incluso antes de reclasificarlo como malware de botnet, Emotet ya era una amenaza para el sistema sanitario. Fue una de las tres principales fuentes de malware por volumen de mensajes en el tercer trimestre de 2018 y pasó a dominar los siguientes dos trimestres.
Los hackers parecen estar pasando de las amenazas de un solo propósito al malware versátil, conocido como el efecto de la navaja suiza. Dependiendo de cómo los hackers lo implementen, Emotet puede servir como downloader, ladrón de datos, spambot y más. Eso lo hace útil a los hackers y una amenaza en aumento para las organizaciones de atención médica.
La influencia de Emotet en la proporción de ataques de correo electrónico basados en URL vs. ataques basados en archivos adjuntos es clara. Alrededor del 77% de los correos electrónicos maliciosos enviados a empresas de atención médica en los cuatro trimestres hasta el primer trimestre de 2019 utilizó una URL, y Emotet representa gran parte de ese total.
El volumen de Emotet ha disminuido considerablemente en los últimos meses puesto que los hackers están reorganizando el malware o realizan cambios en su infraestructura. Pese a ello, Emotet sigue siendo un excelente ejemplo del tipo de malware fuerte y multipropósito que va dirigido al sector sanitario.
Los ataques de malware representaron la mayoría de los ataques en el transcurso de nuestro estudio. El volumen y la participación de los ciberataques basados en archivos adjuntos y URLs cambian constantemente, pero los ataques de URLs han jugado un papel cada vez más importante en los últimos trimestres. Los ataques basados en URLs son eficaces porque, aunque los usuarios son más cautelosos al abrir los archivos adjuntos, aún hacen clic en las URLs más aún si es de una fuente conocida y de confianza como la de un servicio para compartir archivos.
Los hackers a menudo usan estos servicios para alojar malware, vinculando a los archivos maliciosos en una URL. A diferencia de los ciberataques que utilizan archivos adjuntos maliciosos, en las campañas de correo electrónico el código de riesgo no está en el correo electrónico en sí, sino en el sitio web al que enlaza la URL.
Los hackers pueden crear fácilmente nuevas URLs, antes de que las herramientas de seguridad puedan analizarlas y actualizar sus listas de bloqueo. Las URLs incorrectas también son fáciles de ocultar con herramientas de acortamiento de enlaces, que tienen fines comerciales legítimos y, por lo tanto, se supone libre de virus.
También es fácil para alojar código malicioso en sitios populares de intercambio de archivos como Dropbox y OneDrive, que se han convertido en una parte normal y confiable de las organizaciones modernas.
Incluso en las mejores circunstancias, algunos usuarios harán clic en una URL insegura que aparece en un correo. Los hackers son expertos en investigar sus objetivos y en el uso de redes sociales. Algunos señuelos están bien estudiados, hechos a mano y psicológicamente pensados para resistir todo el tiempo necesario.
Puede parecer intuitivo asociar archivos adjuntos con ataques de malware y URLs con suplantación de identidad. Pero en muchos casos, lo contrario también es cierto: los archivos adjuntos pueden ser fácilmente utilizados en ataques de phishing y las URL en ataques de malware.
Personas a las que se dirigen los ciberataques en el sistema sanitario
Los altos ejecutivos no siempre son los principales objetivos de los hackers. En muchos casos, los ciberataques van dirigidos a trabajadores con roles que les otorgan privilegios en el acceso a datos confidenciales, sistemas o relaciones. En otros casos, es alguien con una dirección de correo electrónico pública que suele ser permanente.
En muchos casos, las personas con las direcciones de correo electrónico más visibles, incluido el correo electrónico compartido, son el principal objetivo de los ciberataques. Estas son algunas de las razones por las que alguien podría estar en los radares de los atacantes:
• Tienen información de contacto pública.
• Son trabajadores de larga duración, lo que aumenta las posibilidades de que su dirección de correo electrónico sea finalmente revelada.
• Están incluidos en una lista de distribución pública.
• Su dirección de correo electrónico se filtró en una violación de datos anterior.
• Recientemente se publicaron o aparecieron en un anuncio o informe de noticias, a menudo con su dirección de correo electrónico.
Ciberataques de impostores
Los correos electrónicos de impostores son mensajes fraudulentos diseñados para parecerse a alguien en el que el destinatario puede confiar. A diferencia de los ataques de correo electrónico tradicionales, en los ataques de impostores, incluido el fraude por correo electrónico, no se usan archivos adjuntos de malware o enlaces maliciosos u otras técnicas de phishing comunes. Confían en la ingeniería social para engañar a la víctima y que hagan lo que los atacantes quieren. Eso puede ser cualquier cosa, desde transferir dinero al ataque hasta enviar mensajes con información sensible. Estos ataques pueden ser difíciles de detectar porque no explotan las vulnerabilidades técnicas, sino que se dirigen a la naturaleza humana.
Volumen creciente
Las organizaciones de salud a las que se dirigen los correos electrónicos de impostores recibieron 43 mensajes de este tipo en el primer trimestre de 2019: un aumento del 300% respecto al año anterior y más de cinco veces el volumen en el primer trimestre de 2017.
Más de la mitad de las organizaciones de atención médica en nuestro estudio fueron atacadas con más frecuencia que estaban en el primer trimestre de 2017. Ni una sola organización vio una disminución en los ataques de impostores durante ese periodo. Casi la mitad de las organizaciones de atención médica fueron blanco de ataques que falsificaron al menos cinco identidades.
Remitente desconocido
Solo la mitad de los correos electrónicos enviados a través de dominios de Internet propiedad de organizaciones del sector sanitario podría verificarse a través de la autenticación DMARC. DMARC, que significa Informes y conformidad de autenticación de mensajes de dominio, es un marco para identificar y bloquear correos electrónicos falsificados. No todos los correos electrónicos no verificados son falsificados, pero DMARC garantiza que un correo electrónico de un proveedor de atención médica es realmente enviado desde esa organización.
Los trabajadores de la salud y los pacientes fueron los destinatarios más probables de correos electrónicos no verificados de un dominio de atención médica: el 54% y el 52% de todos los mensajes a estos grupos no fueron verificados.
Call to action
Los estafadores de correo electrónico utilizan una variedad de técnicas para engañar a los destinatarios para que abran el correo electrónico y actúen. Titulares que llaman la atención, especialmente aquellas que provocan incertidumbre en la toma de decisiones para procesar y estimular al destinatario y que abra el correo electrónico, son una gran parte de la ingeniería social.
En los cuatro trimestres hasta el primer trimestre de 2019, las categorías más populares utilizadas por las organizaciones del sector sanitario incluyeron: “pago”, “solicitud” y “urgente”. Estos términos son a menudo asociados con el fraude por transferencia bancaria.
Los ataques de fraude por correo electrónico están diseñados socialmente para apuntar a personas específicas que, debido a sus roles de trabajo, pueden cumplir los deseos de los delincuentes. Por esa razón, los estafadores atacan regularmente empresas de salud de lunes a viernes. La mayoría de los ataques descienden durante el fin de semana.
El resultado: los hackers sincronizan sus correos electrónicos para engañar a los usuarios cuando están en el trabajo, y posiblemente demasiado ocupados o estresados para pensar dos veces antes de abrir ese correo electrónico.
Conclusiones y recomendaciones
Los ataques de hoy apuntan a las personas, no solo a la tecnología. Ellos aprovechan el factor humano: curiosidad natural de los trabajadores de la salud y deseo de servir. La protección contra estas amenazas requiere un nuevo enfoque de seguridad centrado en las personas.
Recomendamos lo siguiente:
• Adoptar un protocolo de seguridad centrado en las personas. Los atacantes no ven el mundo en términos de un diagrama de red. Debemos implementar una solución que brinde visibilidad sobre quién está siendo atacado, cómo está siendo atacado. Considerar el riesgo individual que representa cada usuario, incluida la forma en que se dirigen, a qué datos tienen acceso y si tienden a ser víctimas de ataques.
• Capacitar a los usuarios para detectar e informar correos electrónicos maliciosos. Ayudar a identificar a las personas que son especialmente vulnerables y buscar soluciones actuales.
• Al mismo tiempo, es inevitable que algunos usuarios en ocasiones harán clic en algunas amenazas. Los atacantes siempre encontrarán nuevas formas de explotar la naturaleza humana. Encuentra una solución que detecta y bloquea las amenazas de correo electrónico entrante dirigidas a los empleados antes de que lleguen a la bandeja de entrada y detenga las amenazas externas que usan su dominio para apuntar a los clientes.
• Construir una sólida defensa contra el fraude por correo electrónico. El fraude por correo electrónico puede ser difícil de detectar con herramientas de seguridad convencionales. Invierta en una solución que pueda administrar el correo electrónico basado en cuarentena personalizada y políticas de bloqueo. Su solución debe analizar tanto correos externos como interno: los atacantes pueden usar cuentas comprometidas para engañar a los usuarios de la misma organización.
• Aislar sitios web y URL de riesgo. Mantener el contenido web poco fiable fuera de su entorno. La tecnología de aislamiento web puede hacer que las páginas web sean sospechosas y no verificadas. La misma tecnología puede aislar la web personal de los usuarios y servicios de correo electrónico basados en la web, dándoles libertad y privacidad sin comprometer a la empresa.
• Proteger la reputación de la marca y los clientes en canales que no pertenecen a la organización. Combatir los ataques dirigidos a clientes a través de las redes sociales, el correo electrónico y web, especialmente las cuentas falsas. Y buscar una solución completa de seguridad de redes sociales que escanea todas las redes sociales e informes actividad fraudulenta.