La Agencia de Proyectos de Investigación Avanzada para la Salud (ARPA-H), una agencia de apoyo a la investigación del Departamento de Salud y Servicios Humanos de Estados Unidos, anunció hoy el lanzamiento de una iniciativa para encontrar y ayudar a financiar el desarrollo de tecnologías de ciberseguridad que mejoren, específicamente, las defensas de la infraestructura digital de la atención médica de ese país. Denominada “Digital Health Security project” (Proyecto de Seguridad Sanitaria Digital), también conocida como “Digiheals”, permitirá a investigadores y tecnólogos presentar propuestas desde hoy y hasta el 7 de septiembre sobre herramientas de ciberseguridad orientadas específicamente a sistemas de asistencia sanitaria, hospitales y clínicas, y dispositivos relacionados con la salud.
Durante más de una década, los proveedores de asistencia sanitaria de Estados Unidos y de todo el mundo se han visto acosados por ciberataques, en particular ataques de ransomware, que se aprovechan del trabajo de alto nivel de los centros médicos para intentar extorsionar con pagos inmensos por el rescate de la información secuestrada. Los esfuerzos realizados en los últimos años para tomar medidas enérgicas y disuadir a los ciberdelincuentes han logrado algunos avances moderados, pero siguen produciéndose ataques a la atención médica con regularidad, que interrumpen servicios vitales y ponen en peligro a los pacientes.
La importancia de mejorar la ciberseguridad de los servicios de atención médica
ARPA-H no se centra específicamente en la innovación en ciberseguridad. La agencia tiene programas en marcha, por ejemplo, para impulsar avances en el tratamiento de la artrosis y la imagen médica para la extirpación del cáncer. Pero Andrew Carney, director del programa Digiheals e investigador de seguridad desde hace mucho tiempo, señala que existe una necesidad imperiosa de avanzar en herramientas de defensa digital para la atención médica que sean a la vez eficaces y útiles para los centros de salud en la práctica.
“Buscamos un progreso rápido y tremendo”, declaró Carney a WIRED antes del anuncio. “Queremos asegurarnos de que el impacto que tengamos sea significativo, pero también que esté distribuido equitativamente. No importa que desarrollemos un remedio perfecto que haga que una red sea completamente impenetrable si un hospital rural no puede adoptarlo porque tiene poco personal de informática, o un presupuesto de seguridad mínimo o inexistente”.
Digiheals busca propuestas amplias y diversas relacionadas con la detección de vulnerabilidades, el refuerzo del software y el uso de parches en los sistemas, así como la expansión o el desarrollo de protocolos de seguridad. La iniciativa aceptará proyectos de cualquier persona, incluidos investigadores académicos y o de organizaciones sin fines de lucro o de la industria comercial. Carney subraya que, en definitiva, el objetivo es fomentar soluciones novedosas e ingeniosas, independientemente de su procedencia o de la categoría en la que encajen.
“Queremos lanzar muy pronto una red extensa”, dice. “Animaría a la gente a que, aunque tengan ideas que no se ajusten perfectamente o no coincidan con el calendario de la convocatoria, vengan a hablar con nosotros. Haremos que el proceso se adapte lo mejor posible a las ideas que recibamos”.
Carney destaca que es particularmente complicado estudiar las condiciones reales de la ciberseguridad en la atención médica, porque la red de cada proveedor de la salud está formada por un vasto mosaico de sistemas, servicios y dispositivos que varían mucho. Y no hay margen de error al explorar los sistemas de cada institución o intentar atacarlos intencionalmente para descubrir puntos débiles. Por ello, Digiheals también invita a los investigadores a que presenten propuestas relacionadas con los tipos de herramientas de seguridad que no funcionan en los entornos de asistencia sanitaria, y también las razones de estos fallos.
“Actualmente, las herramientas de software disponibles en el mercado se quedan cortas para detectar las amenazas cibernéticas emergentes y proteger nuestras instalaciones médicas, lo que da lugar a una brecha técnica que pretendemos cerrar con esta iniciativa”, declaró Renee Wegrzyn, directora de ARPA-H, en un comunicado. “El proyecto Digiheals llega en un momento en que el sistema de salud de Estados Unidos necesita urgentemente funciones precisas de ciberseguridad para proteger la privacidad, la seguridad y la vida de los pacientes”.
Tras años de ciberataques perjudiciales a hospitales y de perturbaciones en la atención de los pacientes, la iniciativa Digiheals quizá parezca insuficiente y tardía. A principios de este mes, un ataque de ransomware contra el grupo médico Prospect Medical Holdings en Estados Unidos, que opera en Connecticut, Pensilvania, Rhode Island y el sur de California, causó alteraciones en varios hospitales y clínicas de la red. El proceso de recuperación del sistema está en curso. Pero ARPA-H es una nueva agencia lanzada por el gobierno de Biden el año pasado para ayudar a abordar una serie de problemas de la atención médica del país en los que se debería haber invertido considerablemente desde antes.
“La asistencia médica es el más difícil de los retos desde todos los ángulos”, afirma Carney. “Trabajamos constantemente casi o por encima de nuestra capacidad, y cualquier reducción del servicio causaría daños reales con mucha rapidez. Pero tenemos la posibilidad de avanzar a gran velocidad en las nuevas defensas digitales y nos corresponde hacerlo. Sería irresponsable por nuestra parte no actuar con prontitud”.
Y si te preguntas por qué los hospitales y los servicios de la salud son un objetivo tentador para los ataques de ransomware, en un artículo de 2016 para WIRED, Kim Zetter, periodista y escritora especialista en ciberseguridad y seguridad nacional, lo explicaba de la siguiente manera:
“El malware bloquea la computadora para impedir que accedas a los datos [del archivo del paciente] hasta que pagues un rescate… Los hospitales son el blanco perfecto para este tipo de extorsión porque proporcionan cuidados críticos y dependen de la información actualizada de los historiales de los pacientes. Sin un acceso rápido a los antecedentes farmacológicos, las directrices quirúrgicas y otra información, la atención al paciente puede retrasarse o detenerse, por lo que es más probable que los hospitales paguen un rescate en lugar de arriesgarse a demoras que podrían provocar muertes y demandas judiciales”.
Artículo originalmente publicado en WIRED. Adaptado por Andrei Osornio.
