El año 2022 fue un panorama versado en ataques cibernéticos en Colombia, según COLCERT (Equipo de Respuesta a Emergencias Cibernéticas de Colombia) en un mes y medio contados a partir de noviembre de 2022 se reportaron 36 casos de ataques cibernéticos de todo tipo, los cuales los clasifican en: Suplantación de sitios Web, suplantación de dominios de correo electrónico y diversas prácticas ilegales. El Centro Cibernético de la Policía Nacional según su reporte a corte del mes de octubre del año 2022, se registraron en Colombia alrededor de 54.121 denuncias por delitos informáticos, esté dato comparado con el mismo reporte del año 2021 supera más del 30% de actos delictivos en el ciberespacio.

En una evaluación realizada con un experto en sistemas de información quien cuenta con una amplia experiencia en diferentes sectores productivos a nivel nacional, incluido el sector salud, el Ingeniero Luis Martín Sandoval nos da una visión desde su experiencia sobre los ataques cibernéticos de los cuales fueron blanco diferentes organizaciones incluida una organización del sector salud en el año 2022, donde Martín indica: “Algunas entidades de diferentes órganos de servicio no contemplan planes de contingencia frente a estos eventos, tampoco implementan planes de sensibilización a los funcionarios referente al uso adecuado de los servicios OIT”.

Las empresas u organizaciones que manejen “banco de data” con información sensible de personas, en este caso refiriéndonos a las EPS, IPS, y demás organizaciones de diferentes sectores van a ser víctimas de ataques por algún medio, Luis Martín Sandoval nos cuenta:

“Existen ataques por correo electrónico, por inyección de virus, entre otros pues hay cantidad de ataques a los que nos podemos estar enfrentando constantemente, no existe un medio muy seguro para bloquearlos definitivamente entonces en estos casos es importante implementar Políticas de la Seguridad de la Información que nos permitan prepararnos si llegamos a ser víctimas de alguno de estos eventos”. 

Como ciudadanos podemos ser usuarios del sistema de salud y pertenecer a una organización del sector; en el mundo de la Big Data y de la interconectividad también somos usuarios, estamos en constante movimiento en un sistema a través de las propias redes sociales, por las noticias, contenidos que consumimos o por cualquier medio publicado en internet, Sandoval complementa: “La información que navega de nosotros mismos por los medios de comunicación digital son en ciencia cierta un “conductor” o un “agente comunicador” entre varios receptores. El internet de las cosas es un mundo que nos ayuda a estar intercomunicados, entonces manejar ágilmente y verazmente la información es algo en tiempo real, ya no debemos estar esperando una información de una persona para saber a qué EPS pertenece porque esa información es pública y se puede consultar fácilmente en www.adres.gov.co, no tenemos que esperar para conocer los gustos e intereses de las personas porque ya los medios de comunicación digital, entre ellos las redes sociales lo convierte en algoritmos que permiten agrupar y segmentar los gustos de determinado grupo de personas; en ese orden de ideas es muy fácil obtener dicha información y rastrearla a través de lo que publicamos en  nuestras cuentas digitales, se resume en definitiva que todos estamos “haciéndonos” vulnerables a nosotros mismos al publicar de esta manera nuestra propia información”.

En el caso puntual de la organización de salud que fue víctima de ciberataque en el último periodo de 2022, Martín Sandoval nos plantea su percepción: “Se debe en este tipo de casos tratar de identificar el actuar de estos delincuentes. Sí la intención es atacar una EPS que maneja información de personas la pregunta es ¿Qué necesitan? Pueden tener dos vías, sacar la información de los usuarios o pacientes que posee esa organización o sacar los registros financieros como transferencias bancarias y demás que esté relacionado. La siguiente pregunta es ¿Qué les genera a los delincuentes recursos monetarios al atacar y extraer información de una EPS? Se puede deducir que hacen un análisis de sus líneas bancarias y atacan las fuentes financieras o por otro lado la mirada son los pacientes ¿Qué le genera recursos a una EPS? Los pacientes / usuarios; estos delincuentes atacan la base de datos donde están registrados los usuarios y esa información la pueden utilizar para venderla a la competencia de la organización pues se tiene toda una traza de historia clínica, información valiosa que pueden vender a un mejor postor pues entra a un mercado negro, incluso tienen datos completos de los usuarios y pueden uno a uno atacar sus cuentas bancarias, bienes, etc.”

“Antes de la pandemia, incluso hoy día en Colombia existen empresas u organizaciones que consideran al área de tecnología (cuya razón de ser no sea la misma tecnología como línea de negocio) como un gasto, destinan un rubro muy pequeño frente a la planeación financiera y a la inyección económica que requiere la tecnología de la entidad, invierten lo mínimo y esperan que las personas que administran esos recursos tecnológicos hagan maravillas” afirma el ingeniero Sandoval.

La columna vertebral de una organización tecnológicamente tiene que estar encaminada a una buena inyección tecnológica ya sea en infraestructura lógica o física, el deber ser es tener los recursos necesarios para blindar la información al máximo y garantizar una buena seguridad, unos buenos protocolos de almacenamiento, restauración, de uso de los recursos tecnológicos. Martín manifiesta: “La mayoría de entidades que son atacadas  tienen una  seguridad de la información muy baja, no cuentan con un recurso de personal capacitado para enfrentar la crisis puesto que se ahorran recursos en contratación de personal especializado y capacitado para enfrentar estos temas, ya que se requiere de ciertos niveles de atención, administración y control, deben tener un nivel de experiencia, un requisito humano específico para esa rama, pues la ingeniería de sistemas si bien tiene una línea de capacitación, control, una guía, una experticia teórica y práctica es una parte de la ingeniería que contempla muchas ramas a su vez como la seguridad, el desarrollo, la infraestructura, etc. A veces estas organizaciones esperan que un ingeniero, un técnico o tecnólogo garantice y/o administre un servidor de antivirus y la persona no es especializada en esa rama. Esté desconocimiento solo lo ven las organizaciones una vez son atacados, a lo que se genera mucho ruido dentro de la misma organización, se puede volver incluso una noticia nacional y los directivos terminan castigando a las personas que administran la información, incluso pueden tener especialistas que sepan del tema, pero cuentan con pocos recursos para trabajar, es realmente difícil y uno como ingeniero es mago hasta donde puede”. 

Después de la pandemia la tecnología se convirtió en herramienta vital y necesaria tanto por conectividad, como para la divulgación de información e ingreso de recursos o recaudos para una organización. Sandoval hace énfasis en: “¿Cómo una organización garantiza el tratamiento de los datos de una persona a la cual le presta determinados servicios? Si bien se pública incluso en la Web de una organización la política de tratamiento de datos personales regida por la Ley 1581 de 2012, ¿Solo se hará por un mero formalismo de Habeas Data o las organizaciones sí trabajan verdaderamente en proteger los datos personales de sus usuarios?

Entonces ¿Qué debemos tener en cuenta para que los ataques cibernéticos no centren su mirada en las organizaciones del sector?, Sandoval: “Se debe tener en cuenta para la sensibilización a los usuarios de una organización, acciones que estén enmarcadas en las políticas de la seguridad de información. Por ejemplo, en el colegio o en la universidad en la cual estudiamos, cuándo queríamos ingresar a la sala de tecnología había un reglamento que decía algo como:

• “No se puede consumir alimentos en la sala” o “no se puede abrir el correo personal o abrir vínculos de una página que usted no esté seguro”, etc. A eso se refieren las medidas de seguridad las cuales se deben adecuar en una organización que presta servicios y que maneja banco de datos”. El Ingeniero Martín Sandoval hace referencia a un caso que fue icónico: “Ejemplo, el ataque de ransomware que encriptaba la información, a raíz de esto les llegaba a muchas personas de una organización correos electrónicos de orígenes desconocidos, las personas los abrían sin tener un filtro con el área de tecnología o área especializada para validar la información, entonces no prestaban mayor atención a dichos correos solo porque tenían nombres de entidades financieras solicitando cambiar la clave o solicitando un registro, de esta manera los estafadores lograron obtener la información de primera mano para delinquir”.

La sensibilización va enfocada a incentivar el uso adecuado de los recursos tecnológicos donde las organizaciones deben tener un filtro desde el área de tecnología los cuales deben implementar 3 fases: 

1. Políticas de seguridad de la información.
2. Niveles de acceso restringidos a ciertos sitios.
3. Algunos usuarios de acuerdo a su rol de la organización deben contar con ciertos niveles de restricción en los accesos.

En este último punto hay varios ejemplos, determinada área puede ingresar a portales bancarios oficiales, el acceso a redes sociales encaminada a las cuentas institucionales generalmente manejadas por el área de Comunicaciones o Mercadeo, etc. De esta manera la sensibilización se concentra en su gran mayoría a esos usuarios que tienen amplio permiso a navegar en internet desde la red de la organización. “A estos usuarios se les debe hacer un control de sensibilización y un monitoreo aparte de sus redes para tener una trazabilidad de todo lo que hacen: Qué página o qué link abrieron, qué artículo descargaron, de qué portal fue la descarga la información, etc.” Afirma el ingeniero Luis Sandoval.

El mensaje que debe llevarse toda persona que trabaje para una institución de salud es: No vamos a tener un medio completamente seguro para blindar la información, vamos a estar siempre vulnerables, lo importante es tener un muy buen equipo del control, una política de la seguridad de la información que se construye en conjunto con la gerencia de la organización, un plan de contingencia frente a un evento catastrófico que ocurra referido tanto eventos naturales como también a fenómenos virtuales en las redes sociales. Luis Martín extiende: “Sí llega un virus a los servidores o a la data center donde tenemos la información contable y financiera de la organización ¿Qué paso debo seguir? Se deben establecer paneles de la restauración de la información, tener copia de la seguridad de esa información cada hora, o cada día, cada semana o mes, eso depende de la sensibilidad de la información que se maneje con el fin de que si recibimos un ataque y extraen información de la organización, el impacto que tengo debe ser controlable para que no se frene la prestación de los servicios, para ello depende entonces del plan de restauración que tenga la organización en su área de tecnología un ejemplo para este caso puede ser: Si se perdió la información a las 10:00 am. a las 11:00 am. estamos activos pero con información guardada hasta las 9:00 a.m. Así no es tan grande el impacto de pérdida de información y se puede seguir prestando el servicio”.

Debemos conocer entonces los tipos de ciberdelitos a los que nos podemos ver involucrados y para cada uno de ellos se establece una política de seguridad de la Información la cual es el deber construirla por el área de tecnología. Recordemos que los delincuentes tienen claro su actuar, su objetivo y para qué utilizar la información, es trabajo entonces del administrador de salud y la alta gerencia de las diferentes entidades comprender las dimensiones, evaluar las proyecciones de posibles pérdidas de información, establecer prioridades, conocer las áreas administrativas y su funcionamiento. 

^{Escrito por Alexandra Mogollón Vargas
LinkedIn: @Luismartinsandoval
Fecha: 11 de enero 2023}

^{Bibliografía:}

• ^{https://www.colcert.gov.co/800/w3-channel.html}
• ^{https://mintic.gov.co/portal/inicio/Sala-de-prensa/Noticias/273464:En-el-ultimo-mes-y-medio-}
• ^{MinTIC-ha-recibido-36-reportes-de-ataques-ciberneticos-en-Colombia}
• ^{https://caivirtual.policia.gov.co/ciberseguridad/casos-operativos/todos}