Las CVE peligrosas están aumentando los riesgos de seguridad en el sector de la salud

por | Nov 16, 2022 | Consejos técnicos para la prueba de penetración

El creciente uso de la telemedicina, la explosión de las aplicaciones sanitarias en la nube y los innovadores dispositivos médicos IoT están mejorando la experiencia asistencial de los pacientes. Sin embargo, aunque la digitalización está mejorando la calidad de la atención, también está creando exposiciones y vulnerabilidades que elevan los riesgos de seguridad y privacidad.

Según un estudio reciente llevado a cabo por el Instituto Ponemon, casi el 90% de las organizaciones sanitarias han sufrido una violación de datos en los últimos dos años, y el 45% ha sufrido más de cinco violaciones en el mismo periodo de tiempo. Más del 20% de las organizaciones sanitarias encuestadas informaron de un aumento de las tasas de mortalidad de los pacientes tras sufrir un ciberataque.

Las interrupciones de la red causadas por los ciberataques y los sistemas médicos secuestrados por el ransomware pueden perjudicar el seguimiento de los pacientes. Peor aún, los piratas informáticos con malas intenciones pueden obtener acceso no autorizado a las bombas neumáticas y a los tubos de infusión intravenosa de los pacientes para administrarles dosis mortales. Está claro que este tipo de ciberataques maliciosos tienen enormes repercusiones en el sector sanitario.

En los productos que se utilizan a diario para la atención de los pacientes se encuentran exploits de acceso público que pueden suponer un riesgo importante si no se corrigen. Muchas vulnerabilidades pueden permitir la ejecución de código personalizado o elevar los privilegios que permiten a los malos actores acceder de forma remota a datos privados o cambiar los comportamientos del sistema.

RidgeBot aborda un amplio espectro de exposiciones a la ciberseguridad en el entorno digital de una organización sanitaria, y su biblioteca de complementos incluye CVE-2020-11022, CVE-2020-11023 y CVE-2015-9251.

Son especialmente preocupantes estas tres vulnerabilidades y exposiciones comunes (CVE) que suponen un peligro importante para el sector sanitario. Los CVE son una lista de fallos de seguridad informática divulgados públicamente. Ayudan a los profesionales de la informática a priorizar y abordar las vulnerabilidades críticas para garantizar la protección de sus sistemas.

  • CVE-2020-11022 es una vulnerabilidad de cross-site scripting dentro de la librería JavaScript JQuery, popular dentro de las pilas de tecnología sanitaria. Los atacantes explotan esta vulnerabilidad inyectando un script malicioso en una página web que se ejecuta en el navegador de la víctima una vez que la página es vista. Los atacantes utilizan esta vulnerabilidad para robar credenciales de autenticación basadas en cookies.
  • CVE-2020-11023 es un fallo dentro de jQuery que utiliza HTML que contiene elementos <option> de fuentes no confiables que se pasan a uno de los métodos de manipulación del DOM de jQuery que puede ejecutar código no confiable. Esta vulnerabilidad pone en riesgo la confidencialidad e integridad de los datos.
  • CVE-2015-9251 es un identificador de divulgación vinculado a una vulnerabilidad de seguridad en jQuery antes de la versión 3.0. 0. Es vulnerable a los ataques de cross-site scripting cuando se realiza una petición Ajax entre dominios sin la opción dataType, lo que provoca la ejecución de respuestas de texto y JavaScript.

No hace falta mucha imaginación para ver cómo los falsos lobos, las bandas de piratas informáticos y los grupos patrocinados por el Estado podrían atacar un hospital, cifrar todos sus archivos y exigir un rescate masivo. Por desgracia, la mayoría de las organizaciones sanitarias no están en condiciones de pagar cuantiosos rescates ni de recuperar todos los datos perdidos de un sistema de copia de seguridad.

Erradique la amenaza de las exposiciones CVE con pentesting automatizado

Los equipos de seguridad intentan ir un paso por delante de los malos actores, pero por muy bien defendidos que estén sus sistemas, las protecciones de seguridad nunca son perfectas. El sector sanitario está considerado como una infraestructura crítica por el gobierno de Estados Unidos. Esto lo convierte en un objetivo principal para los malos actores oportunistas, como lo corrobora el número de ataques que tuvieron lugar sólo en los últimos dos años, como el de Broward Health, con sede en Florida, el de Kaiser Permanente en el estado de Washington, el de Novant Health y el de Shields Health Care, sólo por nombrar algunos.

Las pruebas de penetración desempeñan un papel importante a la hora de permitir a las organizaciones sanitarias identificar exposiciones, vulnerabilidades y puntos débiles en sus ciberdefensas. Muchas organizaciones sanitarias sólo realizan pruebas anualmente o de forma puntual, y rara vez realizan pruebas con mayor frecuencia o incluso de forma continua. Esto puede deberse al coste y a la falta de experiencia interna. Sin embargo, el pentesting automatizado les permite eliminar las ventanas de oportunidad para los hackers, ejecutando una prueba cada vez que tienen un cambio de red, un cambio de configuración, una nueva versión de la aplicación y nuevos grupos de usuarios asignados. Esto reduce las ventanas de riesgo de meses a sólo días u horas.

Tal y como muestran los informes diarios de infracciones a organizaciones de todos los ámbitos, es evidente que sus medidas defensivas de prevención de la ciberseguridad no siempre funcionan. Las organizaciones ya no pueden defenderse reaccionando ante las violaciones. Más que una estrategia de defensa se trata de decir «dame un puñetazo, que lo aguanto».

Para atrapar a un ciberdelincuente, hay que pensar como ellos

Las pruebas de penetración automatizadas de RidgeBot® se modelan con un conocimiento colectivo de las amenazas, las vulnerabilidades y los exploits, y aprovechan la toma de decisiones impulsada por la IA. Equipado con técnicas de hacking ético de última generación, RidgeBot actúa como un atacante real, localizando, explotando y documentando implacablemente sus hallazgos.

RidgeBot descubre vectores de ataque conocidos y desconocidos, valida las vulnerabilidades y hace recomendaciones para solucionarlas antes de que los hackers las encuentren. Las pruebas automatizadas y continuas de RidgeBot permiten a los defensores adoptar una postura más proactiva para mantener la seguridad en todos los aspectos de su entorno digital. RidgeBot está completamente automatizado y puede programarse en función de la demanda. No requiere que se preinstale un agente de software en los servidores para validar las vulnerabilidades. Es muy fácil de usar y no requiere personal altamente cualificado.

Si usted es una organización sanitaria, un socio de soluciones o un proveedor de servicios, y desea obtener más información sobre cómo RidgeBots puede reforzar sus defensas, haga clic aquí para ponerse en contacto con nosotros.