Por: María Amparo Gaitán
Dicen que después de la tormenta viene la calma, sin embargo, ese es un lujo que hoy no pueden darse la institucionalidad de salud en el país. Tras una ola de ciberataques tanto a entidades públicas como privadas del sector, tres de las principales organizaciones reconstruyen los hechos; cómo se enteraron, qué medidas tomaron y cuáles son los efectos de haber sido atacadas.
La importancia de la salud mental, la gran lección para el Invima.
El seis de febrero de 2022, el equipo de ciberseguridad del Instituto Nacional de Vigilancia de Medicamentos y Alimentos, Invima, encontró fallas en la página web de la institución, al revisar notaron que los archivos se estaban cifrando, en un parpadeo los ciber atacantes ya habían cifrado un servidor completo. En los ataques de ransomware, se cifran los archivos y se secuestra la información por medio de programas maliciosos, para posteriormente pedir un rescate.
Como principal consecuencia de esta afectación, la plataforma tecnológica que brinda servicios de nacionalización de alimentos y medicinas quedó fuera de línea, causando que los certificados y documentos de comercio exterior no se emitieran. Como consecuencia de ellos, miles de contenedores llenos de mercancía quedaron represados en los puertos. El portal web estuvo suspendido por varias semanas y las operaciones fueron atendidas mediante trámite manual.
En octubre del mismo año, el Invima fue atacado nuevamente. En esta ocasión el equipo de ciberseguridad de la institución empezó a detectar fallas en las aplicaciones internas y el servicio estaba lento. Nidia Nayibe González, CISO del Invima, recuerda que al notar estas afectaciones los delincuentes se alertaron y activaron el ataque. Por tal motivo, se restringió la disponibilidad de la información y los aplicativos de la entidad, con excepción de la Ventanilla Única de Comercio Exterior.
Para González, una de las grandes lecciones que les dejó enfrentarse a los ciber ataques es la importancia de la salud mental de los colaboradores de las áreas de IT. Además de la afectación del servicio, estos ataques generan estrés en el personal de respuesta de las instituciones, y la reiteración de los ataques baja el ánimo y genera impotencia. “En estas situaciones es vital tener la cabeza fría, porque técnicamente se nos olvida lo que tenemos que hacer. Como ingenieros que trabajamos en soporte, el apoyo de un psicólogo es necesario”, explicó la Ciso.
Un ciberataque afecta a cada miembro del equipo y también a sus familias. González destacó que durante el primer ciberataque trabajaron 24 horas al día, siete días a la semana durante tres meses. No hubo cumpleaños, ni fechas especiales; durante el segundo ataque no hubo Navidad y ni año nuevo. “Algunas personas incluso se separaron, en mi familia hasta ahora me están volviendo a hablar”, relató.
A la fecha, el Invima ha enfrentado tres ciberataques y del 100 por ciento de la fuerza laboral que estuvo durante los eventos, hoy queda el uno por ciento. La Ciso también comentó que conoce casos de personas de otras instituciones que estuvieron un mes en la Clínica de la Paz, luego de hacerle frente a un ciberataque. “Hemos notado que después de los ataques todos los problemas que surgen en la institución se le atribuyen soporte técnico. En el Invima cada vez que vamos a empezar a implementar controles es un problema, pero si no los implementamos también lo es; por ello es importante la relación interpersonal con las otras áreas”, indicó la funcionaria.
El pánico es el peor enemigo
Jorge Eliecer González, profesional experto en seguridad del Ministerio de Salud y Protección Social relata que se dieron cuenta de que el Ministerio estaba siendo víctima de un ciber ataque el domingo seis de junio a las seis de la mañana. “A esa hora no había nadie trabajando, pero a algunos de los funcionarios nos gusta revisar temas desde casa, allí notamos que la página web estaba caída y los servidores de acceso no respondían, inmediatamente llamamos a soporte informático”, comentó.
En 2021, año del ciberataque, González apoyaba a la Oficina de Tecnología de la Información y la Comunicación, Otic, del ministerio. Esta dependencia se encarga de la adopción de buenas prácticas en tecnología, diseño, desarrollo, actualización de software, recepción de software, integración de fuentes de información a las bodegas de datos y disponibilidad de los sistemas.
Seguridad informática entró en pánico. Según González, ellos no veían anomalías. “Fuimos al ministerio y notamos que varios servidores que soportan la página web estaban apagados”. El siguiente paso fue revisar, avisar al ministro, al secretario general y al Jefe de la Otic; así se comenzó a tomar medidas.
En palabras del especialista, para recuperarse rápidamente fue de gran ayuda tener copias de respaldo. Anteriormente, las copias de respaldo se hacían por demanda y se almacenaban en unos servidores en el centro de datos de la institución. Sin embargo, por sugerencia de la Otic se implementaron políticas modernas y los datos fueron llevados a un data center fuera del ministerio, en la zona franca de Fontibón.
¿Que no se recomienda?
El Ministerio de Salud y Protección Social cuenta con un data center que aloja todas las aplicaciones misionales y otro que aloja las aplicaciones de apoyo. Este último fue el que sufrió el ataque. En este caso, Seguridad Informática actuó bajo la presión y resolvió desconectar todo, eliminar los accesos, incluidos los de la nube privada, y hasta suspendieron la aplicación del Covid. “El Ministerio tiene 43 aplicaciones misionales y 118 que surten de información a esas 43. Necesitábamos que las apps misionales estuvieran activas y logramos disponibilidad rápidamente, sin embargo, hubo algunos efectos negativos”, destacó González.
La primera aplicación que se habilitó fue la de Covid para seguir reportando la vacunación; posteriormente fueron encendidas las demás. En total, tardaron 15 días restableciendo todo. Para el experto hay que tener mucho cuidado con las acciones que se toman, para determinar qué se suspende y qué sigue funcionando.
El ministerio tenía un plan de recuperación de desastres, DRP, debidamente probado, pero por el pánico no fue tenido en cuenta. Después de que todo terminó, uno de los interrogantes que surgió en los equipos fue ¿por qué no se tuvo en cuenta el DPR? Este plan se probaba tres veces al año, pero ante el ataque fue ignorado.
Tampoco se tuvo en cuenta el plan de comunicaciones. Para para González esto demuestra la importancia de involucrar a toda la entidad, desde comunicaciones, alta gerencia, parte operativa y recursos humanos. Los planes de recuperación no son solo responsabilidad del área de TI, sino de toda la organización y tienen que estar desarrollados no solo para la recuperación de un desastre informático, sino para un desastre de cualquier índole. “Hay muchas cosas que se hicieron bien porque teníamos algo preparado, pero la mayoría de las cosas se hicieron mal por el pánico que es el peor enemigo cuando hay desastre”, destacó el experto.
Ausencia de políticas y desconocimiento en la alta dirección, los pecados de la Superintendencia de Salud
Hernán Ríos no estaba vinculado a la Superintendencia de Salud cuando esta fue atacada; sin embargo, cuando llegó a ocupar el cargo como asesor TI de entidad las complicaciones y agravantes del ciberataque aún estaban presentes. Entre los principales antecedentes que permitieron la intromisión de ciber delincuentes a la SuperSalud se destaca que el cargo de Chief Information Security Officer, Ciso estaba aprobado, pero no estaba contratado. Este perfil es clave en una organización, pues es quien se encarga de proteger y mantener la seguridad de los datos ante posibles ciberataques o robo de los mismos; además la persona que administraba herramientas tecnológicas dentro de la entidad, había recibido el cargo quince días antes sin un proceso de capacitación o de transferencia de conocimiento.
Según Ríos, se identificaron muchas falencias, entre ellas desconocimiento en el manejo de herramientas: “Una de las primeras preguntas que yo hice fue sobre la arquitectura de seguridad de la entidad y la persona a cargo me hizo una lista de herramientas y de pecados técnicos, como la implementación por defecto de 100 servidores, 30 de ellos sin antivirus”, dijo el asesor.
Asimismo, explicó que, de los 100 servidores, 70 estaban tercerizados en un operador en la nube blindados con antivirus y actualizaciones, los 30 restantes, administrados por los ingenieros de la entidad no tenían antivirus, su sistema operativo estaba desactualizado y adicionalmente los respaldos se almacenaban allí. A su llegada, Ríos se encontró con este conjunto de falencias técnicas, humanas, procedimentales, de protocolo, causadas por ausencia de políticas y desconocimiento en la alta dirección.
En palabras del asesor,no se lograron recuperar todos los backups, así que tenían dos opciones, pagar a los ciberdelincuentes o iniciar un proceso de reconstrucción de la información, lo que supone mucho tiempo y dinero. Finalmente, no se optó por ninguna de las dos y cuatro aplicaciones misionales fueron afectadas. “Ese fue el escenario, desafortunadamente catastrófico. En ese momento se prendieron las alarmas y se buscaron soluciones inmediatas como buscar un Ciso, traer a un asesor, llegué yo, contratar ingenieros expertos, invertir para actualizar la solución, todas respuestas reactivas”, declaró Ríos.
Explicar una y otra vez, el karma de las áreas de TI en el sector salud
Para el profesional experto en seguridad del Ministerio de Salud y Protección Social, la rotación en la alta gerencia de las instituciones del Estado es muy grande y es una de las principales barreras para establecer una estrategia de ciber seguridad. En la mayoría de los casos, los directivos se concientizan sobre el tema cuando ya han tenido que hacer frente a un ciber ataque.
“Esas políticas yo las voy a hacer tumbar”, es una frase que llegó a oídos de González. Se trataba de políticas firmadas por el ministro de salud de 2020, encaminadas a la implementación de planes para el ministerio y sus entidades adscritas, entre ellas dar cumplimiento al Conpes 3995 de 2020 que insta al ministerio a crear un equipo de respuesta a incidentes de seguridad informática, Cesirt. Sin embargo, y a pesar de que las políticas no se tumbaron, con la llegada de la nueva ministra en 2022 todo el plan se detuvo. “Entre la exministra Carolina Corcho y el nuevo ministro, han pasado cinco jefes de Otic por la cartera y es desgastante empezar a explicar todo nuevamente, además no todos quieren oír, después del Conpes salió el decreto 338 de 2022, que ratifica la implementación y al ministerio como parte del Comité Nacional de Seguridad Digital, pero las altas gerencias no entienden eso”, indicó González.
Estos cambios de administración en el sector y la poca o nula importancia que se le ha dado a los ciberataques, más las falencias de gobierno de los datos y de procedimientos de manejo de la información, ha sido la receta perfecta para la salud pública en Colombia sea uno de los blancos predilectos por los ciberatacantes.
Sector salud: el blanco de ataque favorito de los criminales
Aunque hemos visto que los ataques al sector de salud pública en Colombia se han dirigido al robo o secuestro de datos con estrategias de ransomware, phishing y denegación del servicio dirigidas a las instituciones, con la creciente adopción de servicios de telemedicina, la vulnerabilidad de los usuarios también irá en aumento. Hoy existen múltiples áreas potenciales de riesgo, desde las aplicaciones y sus desarrolladores, hasta los propios dispositivos de los pacientes y los médicos.
De acuerdo con el blog de Eset, hoy las consultas virtuales son cada vez más comunes y crecen los servicios, tanto aplicaciones como plataformas online, donde profesionales de la salud atienden a sus pacientes desde la comodidad de su casa. Con el aumento de esta forma de atención surgen preocupaciones en cuanto a la seguridad y privacidad. ¿Son seguras estos servicios online de telesalud? ¿Se están protegiendo adecuadamente los datos de los pacientes, para que no caigan en la dark web para ser vendidos?
“Los datos de los pacientes son muy buscados en los foros clandestinos, ya que incluyen información personal y financiera que puede usarse para cometer fraude de identidad o para obtener recetas ilegalmente, o incluso tomarse la información médica para intentos de extorsión, dependiendo de lo delicado del dato robado” explica Phil Muncaster de Eset.