El sector sanitario europeo frente  a la ciberamenaza: propuesta de una fiscalización informática






               ción relacionada con patentes, aspectos no funcio-  mación relacionada con la salud, como información de-
               nales de un dispositivo médico o teorías y resultados   mográfica, historiales médicos, resultados de pruebas o
               asociados a la investigación científica.         de laboratorio, estados de salud mental, etc. Estos datos
                                                                pueden venderse después en la dark web y otros foros
            Los datos de los pacientes, incluidas las historias clíni-  de acceso especial. En un estudio reciente se puede en-
            cas electrónicas, fueron los más atacados en 63 casos   contrar una muestra de este tipo de historiales que se
            identificados (30%). Los datos de los pacientes se con-  venden, con precios que varían en función de lo comple-
            sideran una mercancía, ya que pueden utilizarse para ro-  to que sea el historial médico robado .
                                                                                               9
            bar la identidad de una persona y cometer fraude o para
            extorsión y chantaje. Los historiales de los pacientes no   Los sistemas y redes informáticos no médicos se vie-
            sólo  incluyen  datos  personales  (por  ejemplo,  nombres   ron afectados en 55 incidentes (28%), los sistemas de
            completos, números de la seguridad social, información   información sanitaria en 48 (23%) y los datos corpora-
            de identificación, direcciones de correo electrónico, in-  tivos y relacionados con el personal en 31 incidentes
            formación sobre tarjetas de crédito), sino también infor-  (15%).


































            VI. Recomendaciones.                                 A  Retos para el sector sanitario. Uno de los principa-
                                                                   les motivos de preocupación son las vulnerabilidades
            En general, los distintos informes de la Agencia Europea   de los dispositivos médicos y su posible efecto en la
            de Ciberseguridad han dado más luz sobre los tipos de   seguridad y la privacidad de los pacientes. La Prospec-
            ciberincidentes, los actores y sus motivaciones, los ac-  tiva de Amenazas a la Ciberseguridad de ENISA para
            tivos afectados, las víctimas y los impactos potenciales   2030 incluye, como mayor amenaza futura, los ataques
            en el sector sanitario europeo. Esto puede proporcionar   dirigidos a personas utilizando los datos recogidos en
            información valiosa para la gestión de riesgos tanto a las   dispositivos inteligentes y equipos médicos. 10
            autoridades gubernamentales sanitarias europeas como
            a los profesionales de la ciberseguridad del sector. So-  B  Recomendaciones para los profesionales sanita-
            bre la base de toda esta información, la Agencia Europea   rios. Las organizaciones sanitarias y sus profesiona-
            propone las siguientes recomendaciones a los Estados   les debieran seguir prácticas de ciberhigiene como
            miembros, al sector sanitario y a sus profesionales:    las siguientes:






            9   Recorded Future, The business of Fraud: Sales of PII and PHI, by Insinkt Group, February 17, 2021, p. 10. https://go.recordedfuture.com/hubfs/reports/cta-2022-0217.pdf
            10  ENISA Foresight Cybersecurity Threats for 2030, March 2023. https://www.enisa.europa.eu/publications/enisa-foresight-cybersecurity-threats-for-2030


                                                                                                              115