Cómo proteger los datos clínicos de un centro veterinario de un ciberataque

La ciberseguridad suele asociarse a bancos, grandes tecnológicas o multinacionales, pero las clínicas veterinarias también se han convertido en un objetivo habitual de los ciberataques. El avance del software en la nube, la consolidación de la imagen digital y el uso generalizado de historias clínicas electrónicas han elevado el nivel de digitalización del sector, y con ello la necesidad de proteger de forma activa los datos de los pacientes y de las propias clínicas.

Desde Provet Cloud, el software de referencia para clínicas veterinarias de Nordhealth, subrayan la importancia de que los centros veterinarios evalúen no solo sus propios sistemas, sino también las garantías de seguridad que ofrecen sus proveedores tecnológicos. En este contexto, el software ha recabado el análisis de la consultora en gestión veterinaria Nancy Dewitz para explicar por qué las clínicas veterinarias son un objetivo frecuente del cibercrimen, cómo se materializan los riesgos y de qué manera los estándares internacionales pueden servir de guía para elegir socios tecnológicos que prioricen la protección de los datos.

Los hospitales y clínicas veterinarias presentan una vulnerabilidad específica frente a la ciberdelincuencia. Aunque en los sistemas de gestión clínica no suele almacenarse información financiera sensible como números de tarjetas de crédito, los atacantes conocen un factor determinante: la actividad veterinaria depende por completo del acceso a sus datos.

Según explica Dewitz, “los estafadores saben que no hay nada de valor para ellos en el software de la clínica, pero también entienden que los veterinarios están dispuestos a pagar para recuperar sus datos porque no pueden operar sin ellos”. El ransomware, identificado como la amenaza más común, consiste en bloquear o cifrar los archivos de la clínica hasta que se abona un rescate. En estos casos, el objetivo no son los datos en sí, sino la capacidad del centro para seguir funcionando, y el pago no garantiza la recuperación de la información.

Así, estudios citados por Provet Cloud indican que casi la mitad de los ataques de ransomware notificados a las aseguradoras afectan a pequeñas empresas, entre ellas clínicas veterinarias. Las demandas medias de rescate se sitúan entre los 5.000 y más de 100.000 dólares, a lo que se suman pérdidas adicionales derivadas de la inactividad y de los procesos de recuperación.

En este sentido, desde el software explican que la seguridad digital de una clínica no se limita al sistema de gestión clínica. “Cualquier sistema digital presente en el centro puede convertirse en un punto de entrada para un ataque”, aseguran. Entre las principales fuentes de vulnerabilidad se encuentran los sistemas de imagen, como radiología dental, ecografía, TAC o resonancia magnética; documentos y hojas de cálculo almacenados localmente; programas de contabilidad o nóminas; cuentas de correo electrónico corporativas y unidades compartidas; dispositivos personales del equipo utilizados para tareas profesionales; así como redes Wi-Fi y dispositivos conectados, como cámaras de seguridad o termostatos inteligentes.

Dewitz insiste en que “las clínicas solo son tan seguras como su última copia de seguridad”. Como ejemplo, recuerda el caso de un centro que llevaba más de seis meses sin realizar copias de seguridad ni del sistema de gestión clínica ni de los datos de rayos X. “El veterinario no sabía que las copias no se estaban realizando automáticamente, poniendo todos los datos en riesgo”, señala.

BUENAS PRÁCTICAS EN COPIAS DE SEGURIDAD

Por ello, desde Provet Cloud destacan que una estrategia sólida de copias de seguridad debe incluir procesos automáticos diarios para todos los sistemas, pruebas mensuales de restauración que confirmen que los archivos pueden recuperarse correctamente, y copias redundantes tanto en la nube como en almacenamiento local. A ello se suma la necesidad de documentar de forma clara qué información se respalda y durante cuánto tiempo.

El software veterinario de referencia advierte además de que, incluso cuando el PMS en la nube cuenta con altos niveles de seguridad, otros archivos pueden quedar expuestos. Resultados de laboratorio guardados en hojas de cálculo compartidas o enviados como adjuntos por correo electrónico pueden quedar fuera de las protecciones que ofrece el sistema principal.

Las consecuencias de un ciberataque pueden ser especialmente graves en el ámbito sanitario. Provet Cloud recuerda el ataque de ransomware sufrido en 2021 por los servicios públicos de salud de Irlanda, que mantuvo sistemas hospitalarios paralizados durante meses. En el caso de una clínica veterinaria, incluso interrupciones de corta duración pueden provocar efectos severos.

Entre los impactos operativos se incluyen la pérdida o el daño de historias clínicas, la cancelación de citas o cirugías con el consiguiente riesgo para la salud de los pacientes, y la paralización de la venta de productos y alimentos. A nivel financiero y reputacional, pueden producirse pérdidas directas de ingresos, elevados costes de recuperación, deterioro de la confianza de los clientes y problemas legales o regulatorios, por ejemplo, en relación con registros de medicamentos controlados o incumplimientos normativos. A estos riesgos se suman otros como fallos de equipamiento, desastres naturales o sabotajes internos que pueden dejar los sistemas fuera de servicio.

Según señalan desde Provet Cloud, este conjunto de amenazas refuerza la importancia de elegir un sistema de gestión clínica que aborde la seguridad de los datos como una prioridad y cuente con credenciales que lo avalen.

NORMAS ISO: EL REFERENTE EN SEGURIDAD DE LA INFORMACIÓN

La reducción del riesgo comienza, según el software, por seleccionar proveedores que cumplan con los estándares más exigentes en seguridad de la información. La Organización Internacional de Normalización desarrolla normas globales orientadas a garantizar la calidad, la seguridad y la eficiencia en distintos sectores. En este ámbito, la ISO/IEC 27001 se centra específicamente en la gestión de la seguridad de la información.

Esta norma abarca aspectos como el almacenamiento seguro y el cifrado de datos, la realización de evaluaciones periódicas de riesgos y auditorías internas, la existencia de protocolos de respuesta a incidentes y de recuperación ante desastres, así como la asignación clara de responsabilidades en materia de seguridad de los datos. La certificación ISO es otorgada por auditores independientes, y las clínicas pueden verificarla solicitando documentación al proveedor o consultando los registros de acreditación. Aunque los centros veterinarios no suelen estar certificados, desde Provet Cloud indican que elegir proveedores con certificación ISO 27001, como es su caso, refleja un compromiso sólido con la protección de la información.

La tecnología, recuerdan desde el software veterinario, es tan fiable como las personas y los procesos que la sostienen. Dewitz pone el acento en la necesidad de contar con proveedores de tecnología de la información que comprendan las particularidades y riesgos de un entorno médico. “El informático de la esquina puede estar bien para tu ordenador personal, pero no para una clínica veterinaria. Una empresa de IT genérica puede no entender la gravedad de la situación”, afirma.

A la hora de evaluar posibles socios tecnológicos, Provet Cloud recomienda plantear cuestiones relacionadas con la certificación ISO 27001, el cumplimiento del Reglamento General de Protección de Datos (GDPR), la disponibilidad de copias de seguridad automáticas, redundantes y externas, y la existencia de protocolos claros de recuperación ante brechas de seguridad. El software también sugiere valorar la designación de un responsable de seguridad de los datos dentro del equipo de la clínica para garantizar un seguimiento continuo.

FORMACIÓN DEL EQUIPO EN SEGURIDAD DE LOS DATOS

La formación del personal es otro de los pilares señalados por Provet Cloud. Las técnicas de phishing, las falsas llamadas de soporte técnico y el malware son cada vez más sofisticadas, y entre las estafas más frecuentes en clínicas veterinarias figuran los falsos adjuntos con resultados de laboratorio, facturas fraudulentas de proveedores y notificaciones engañosas de recursos humanos o nóminas.

Para reducir estos riesgos, el software recomienda organizar sesiones formativas periódicas, realizar simulaciones ocasionales de ataques de phishing, y mantener protocolos claros sobre dónde deben almacenarse los datos y qué prácticas deben evitarse.

“En Provet nos tomamos muy en serio la seguridad y la gestión de los datos. Nuestra empresa matriz, Nordhealth, cuenta con la certificación ISO/IEC 27001 y cumple con la normativa GDPR en todos los mercados donde se comercializan nuestros productos”, concluyen desde el software.