Seguridad baja en la IA expone los dispositivos médicos IoT al riesgo de ciberataques

La proliferación de dispositivos de Internet de las cosas (IoT) para la asistencia sanitaria, junto con las redes no particionadas, controles de acceso insuficientes y la confianza en los sistemas heredados ha expuesto una superficie de ataque vulnerable que puede ser explotada por cibercriminales decididos a robar información de identificación personal (IIP) e información de salud protegida (ISP), además de interrumpir los procesos de atención médica. Estos hallazgos publicados por Vectra AI Inc. (San José, CA, EUA) en su Reporte sobre Asistencia Sanitaria Vectra 2019 Spotlight, subrayan la importancia de utilizar el aprendizaje automático y la inteligencia artificial (IA) para detectar comportamientos ocultos de amenazas en las redes empresariales de TI antes de que los cibercriminales tengan la oportunidad de espiar, difundir y robar.

El informe de Vectra IA, que aplica la IA para detectar y responder a los ataques cibernéticos en tiempo real, se basa en observaciones y datos de la edición de la Conferencia RSA 2019 del Informe de la Industria del Comportamiento de Atacantes que revela comportamientos y tendencias en redes de una muestra de 354 organizaciones empresariales en salud y otras ocho industrias que tomaron la decisión de participar. Según el informe, las brechas en las políticas y los procedimientos pueden dar como resultado errores por parte de los miembros del personal de atención médica, como el manejo y almacenamiento incorrectos de los archivos de los pacientes, que es un punto débil para los ciberdelincuentes que atacan organizaciones e industrias globales y que buscan puntos débiles que explotar.

El informe encontró que los túneles ocultos HTTPS eran el método más utilizado por los atacantes para ocultar las comunicaciones de comando y control en las redes de atención médica. Este tráfico representa una comunicación externa que implica múltiples sesiones durante largos períodos de tiempo que parecen ser tráfico web encriptado normal. Los atacantes en su mayoría usaban túneles ocultos del sistema de nombres de dominio (DNS) para ocultar los comportamientos de exfiltración de datos en las redes de atención médica. Los comportamientos consistentes con la exfiltración también pueden ser causados por las herramientas de seguridad y de TI que usan la comunicación DNS.

También ha habido un aumento en los comportamientos coherentes con los atacantes que realizan el reconocimiento interno en forma de exploraciones internas de la red oscura y exploraciones de cuenta de Microsoft Server Message Block (SMB). Las exploraciones internas de la red oscura se producen cuando los dispositivos huésped internos buscan direcciones IP internas que no existen en la red. Las exploraciones de cuentas SMB se producen cuando un dispositivo huésped hace uso rápidamente de varias cuentas a través del protocolo SMB que generalmente se usa para compartir archivos.

Varias organizaciones de atención médica han presenciado ataques de ransomware en los últimos años, aunque el informe encontró que las amenazas de ransomware no eran tan frecuentes en la segunda mitad de 2018. Sin embargo, sigue siendo importante detectar los ataques de ransomware antes de que los archivos se cifren y se interrumpan las operaciones clínicas.

“Las organizaciones de atención médica luchan con la administración de sistemas heredados y dispositivos médicos que tradicionalmente tienen controles de seguridad débiles, pero ambas brindan acceso crítico a la información de salud de los pacientes”, dijo Chris Morales, jefe de análisis de seguridad de Vectra. “Mejorar la visibilidad del comportamiento de la red permite a las organizaciones de atención médica gestionar los riesgos de los sistemas heredados y las nuevas tecnologías que adoptan”.

Enlace relacionado:
Vectra AI Inc.