MCAFEE Labs: registros médicos robados tiene mayor longevidad en el mercado, pero no son fácilmente monetizables

0
127

Informe revela las consecuencias de no considerar la Dinámica de la ciberseguridad en la “Segunda Economía”; los expedientes médicos fallan en desmerecer el valor de mercado de datos financieros robados, datos farmacéuticos y de la biotecnología

Intel Security ha publicado su informe McAfee Labs Health Warning, que evalúa el mercado de los registros médicos robados; lo compara con el mercado de datos de servicios financieros robados; identifica las tendencias enfocadas en el cuidado de la salud como servicio; y perfila el delito cibernético dirigido a la propiedad intelectual en las industrias farmacéutica y biotecnológica. El reporte afirma que el desarrollo del mercado de datos robados y las habilidades relacionadas con el hackeo indican que el “negocio de la ciberdelincuencia” en el sector de la salud está creciendo.

“En una industria en la que el personal es primordial, la pérdida de confianza podría ser catastrófica para su progreso y perspectivas de éxito”, dijo Raj Samani, CTO de Intel Security para Europa, Oriente Medio y África.

Dada la creciente amenaza para la industria, los costos de incumplimiento deberían ser evaluados en términos de tiempo, dinero y confianza de la Segunda Economía, donde la pérdida de confianza puede repercutir tanto en daño a individuos y organizaciones como en fondos perdidos.

Intel Security encontró que el precio por registro de los expedientes médicos de los pacientes robados sigue siendo menor que los registros de cuentas financieras y la información de cuentas de pagos minoristas, a pesar de la naturaleza cada vez más sensible al tiempo o perecedera de datos como números de tarjetas de crédito y débito.

En los últimos años, Intel Security ha observado que la comunidad de ciberdelincuentes extiende sus esfuerzos de robo de datos más allá de los datos financieros de la cuenta a los registros médicos. Aunque los números de tarjetas de crédito y débito pueden cancelarse y reemplazarse rápidamente, no es el caso de la información de salud protegida (PHI) que no cambia.

Esta PHI “no perecedera” podría incluir nombres de familia, nombres de soltera de las madres, números de la seguridad social o de la pensión, datos de la tarjeta de pago y del seguro e historias de direcciones del paciente. Aunque esta dinámica ha llevado a la especulación de la industria de que el precio por expediente médico podría pronto subir para competir o incluso eclipsar el de la cuenta financiera o los datos de la tarjeta de pago, la investigación de 2016 de Intel Security no ilustró ese movimiento de precio.

El reporte de Intel Security encontró que el promedio de los puntos de récord de salud era mayor que el de la información personal de identificación personal, pero aún menor que la de los datos personales de las cuentas financieras. El valor por registro de los datos de la cuenta financiera osciló entre $14.00 a $25.00 por registro, las tarjetas de crédito y débito se dibujaron alrededor de $4.00 a $5.00, pero los datos de la cuenta médica se ganaron sólo de $0.03 a $2.42.

Los hallazgos sugieren que los datos de las cuentas financieras siguen siendo más fáciles de obtener que los datos médicos personales, lo que podría requerir una inversión que los datos de pagos financieros no requieren. Al robar una caché de registros médicos, es probable que los ciberdelincuentes deban analizar los datos, y tal vez la referencia cruzada con datos de otras fuentes antes de que se puedan identificar fraudes lucrativos, robo, extorsión u oportunidades de chantaje. Los datos financieros, por lo tanto, siguen presentando una oportunidad de retorno de la inversión (ROI) más rápida y atractiva para los ciberdelincuentes.

“La liquidez supera la longevidad en la carrera por monetizar los datos robados”, dijo Raj Samani, CTO de Intel Security para Europa, Oriente Medio y África. “Si robo un millón de números de tarjetas de crédito o débito, puedo vender rápidamente esta mercancía digital antes de que los bancos y minoristas descubran el robo y cancelen estos números. Alternativamente, un millón de registros médicos contienen una importante reserva de PHI permanente e historias personales, pero estos datos requieren una mayor inversión de tiempo y recursos para explotarla y monetizarla”.

La investigación de Intel Security también reveló la selección de empresas biotecnológicas y farmacéuticas para su propiedad intelectual y su información comercial confidencial. Los analistas sugieren que el valor económico de esa información es considerablemente más alto que los datos de centavos por registro que los investigadores de Intel Security identificaron en las cuentas de atención médica de los pacientes.

Los investigadores de Intel Security descubrieron que las fórmulas para los fármacos de próxima generación, los resultados de los ensayos con fármacos y otras informaciones comerciales confidenciales constituyen un valor significativo. El almacenaje de estos datos en las compañías bio-farmacéuticas, sus socios e incluso los reguladores gubernamentales que están involucrados en la introducción de nuevos medicamentos en el mercado se han convertido en un objetivo premium de los ciberdelincuentes.

“El espionaje corporativo se ha tornado digital junto con tantas otras cosas en nuestro mundo”, dijo Samani. “Cuando se considera que la investigación y el desarrollo es un tremendo gasto para estas industrias, no debería sorprendernos que los cibercriminales se sientan atraídos por el ROI de esta categoría de robo de datos de atención médica”.

Por otra parte, Intel Security también identificó a los ciberdelincuentes aprovechando el mercado del delito cibernético como servicio para ejecutar sus ataques contra las organizaciones de atención médica. Los investigadores encontraron evidencia de la compra y alquiler de exploits y kits de explotación para permitir que el sistema comprometiera las infracciones de los datos sanitarios. En un caso, un ladrón cibernético relativamente poco competente técnicamente compró herramientas para explotar a una organización vulnerable, aprovechó el apoyo técnico gratuito para orquestar su ataque y extrajo más de 1.000 registros médicos que el proveedor de servicios dijo que le podrían dar unos 15.564 dólares.

Los investigadores también observaron los descarados esfuerzos de los ciberdelincuentes, a través de los anuncios en línea y las redes sociales, para reclutar en sus filas a los profesionales de la salud con acceso a información valiosa.

“Cuando una comunidad bien desarrollada de ciberdelincuentes se dirige a una industria menos preparada como la atención de la salud, las organizaciones dentro de esa industria tienden a ponerse al día para protegerse contra las amenazas de ayer y no las de hoy o mañana”, continuó Samani. “Ganar la ventaja en la ciberseguridad requiere un rechazo de los paradigmas convencionales en favor de un nuevo pensamiento radical. Cuando las organizaciones de atención de la salud se han basado en libros de texto antiguos, deben ser impredecibles. Donde tienen información acumulada, los jugadores de la industria deben ser más colaborativos. Cuando han infravalorado la defensa cibernética en general, deben priorizarla. En la Segunda Economía, si ganas el concurso del ‘tiempo’ con los atacantes, estás en condiciones para preservar el dinero y la confianza”.