Durante un período de doce meses, los investigadores de TrendAI analizaron 7,779 publicaciones en foros clandestinos, 21,813 ofertas de mercados y 95 sitios de filtraciones de ransomware relacionados con la ciberdelincuencia en el sector de la salud. Los resultados muestran que los datos de salud siguen siendo uno de los bienes más codiciados que se comercian en el subterráneo criminal. Su durabilidad, sensibilidad y la posibilidad de utilizarlos para diversas formas de fraude y extorsión simultáneamente los hacen especialmente atractivos para los criminales.
Ransomware como motor del comercio subterráneo
Las ventas de datos provenientes de incidentes de ransomware representaron más de un tercio (36.3%) de toda la actividad en los mercados. Los actores de ransomware combinan cada vez más la encriptación con el robo de datos y la extorsión. Además, los investigadores identificaron un enfoque creciente en los proveedores de registros electrónicos de salud. Un solo ataque exitoso puede comprometer cientos de instalaciones de atención médica.
El informe también muestra que los ciberdelincuentes ya no se limitan a la venta de conjuntos de datos completos. En los mercados clandestinos, los datos de salud se utilizan cada vez más como base para el robo de identidad, el fraude de seguros, certificados y recetas falsificadas, así como la usurpación de cuentas de pacientes y empleados. Esto permite monetizar los conjuntos de datos robados múltiples veces durante años.
"Los datos de salud han evolucionado de ser información robada a activos que los ciberdelincuentes pueden utilizar a largo plazo", explica Mayra Rosario, investigadora principal de amenazas en TrendAI. "A diferencia de una tarjeta de crédito, los diagnósticos, historiales de tratamiento o datos biométricos de un paciente no se pueden simplemente bloquear y volver a emitir – lo que los hace particularmente atractivos para grupos de ransomware y comerciantes de datos."
Del individuo solitario a la cadena de suministro delictiva
El estudio también examina la industrialización progresiva de la ciberdelincuencia en el sector de la salud: los mercados clandestinos ahora ofrecen una amplia gama – desde credenciales para redes hospitalarias y datos de seguros hasta paquetes de identidad completos y documentos médicos falsificados.
Especialmente está creciendo el papel de los llamados brokers de acceso inicial. Estos actores especializados obtienen acceso a las redes de hospitales, clínicas o proveedores de servicios de salud y luego los venden a grupos de ransomware u otros ciberdelincuentes. La división del trabajo reduce las barreras de entrada para los atacantes y acelera la comercialización de los ataques a instalaciones de salud.
"Lo que observamos no son casos aislados, sino una economía subterránea desarrollada que se ha construido específicamente en torno a los ciberataques al sector de la salud", dice Dirk Arendt, Director de Gobierno, Público y Salud, DACH en TrendAI. "Incidentes recientes en Alemania y en todo el mundo muestran de manera impresionante cuán enfocada está la ciberdelincuencia en los datos de los pacientes y la necesidad urgente de protegerlos mejor."
Proveedores de software como puerta de entrada: riesgo con efecto multiplicador
El estudio también advierte que las compromisos en la cadena de suministro a través de proveedores de software y plataformas médicas se están convirtiendo en un potenciador central de riesgos para todo el sector. Permiten a los atacantes escalar sus operaciones mucho más allá de hospitales o clínicas individuales.
Sistemas de imagen médica desprotegidos en todo el mundo
Paralelamente, investigadores de TrendAI identificaron riesgos significativos en los sistemas de imagen médica conectados a Internet. Una investigación separada encontró 3,627 servidores DICOM accesibles públicamente en más de 100 países. DICOM (Digital Imaging and Communications in Medicine) es el estándar central para el intercambio de datos de imágenes médicas como resonancias magnéticas, tomografías computarizadas o radiografías.
Resulta particularmente crítico que, aunque DICOM ha soportado durante décadas mecanismos de seguridad como encriptación, autenticación y controles de acceso, en la práctica rara vez se utilizan. Solo el 0.14% de los sistemas identificados utilizaron el cifrado TLS previsto, mientras que el 99.56% aceptaron conexiones sin verificación de autenticación efectiva. El informe advierte que esto permite a los atacantes espiar datos de pacientes, manipular datos de imágenes médicas, introducir ransomware o moverse lateralmente en las redes hospitalarias.
Más información
El reporte completo "The Cybercriminal Underground: Mapping the Healthcare Data Economy" se puede encontrar aquí: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal-underground- mapping-the-healthcare-data-economy
El reporte completo "Exposed DICOM Servers and the Risk to Patient Data" se puede encontrar aquí: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden- vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data
Oficina de
prensa TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Teléfono: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Suiza