El administrador de servicios de salud y hospitales, Lcdo. Ramón Alejandro Pabón, alertó hoy sobre un Aviso Conjunto de Ciberseguridad (Cybersecurity Advisory – CSA) emitido por el Buró Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS). «En Puerto Rico estamos alertando, ya que más de 40 hospitales han sido atacados y se reportan miles de intentos de hackeo mensualmente en las instituciones del campo de la salud. Afortunadamente el FBI y el Departamento de Salud y Servicios Humanos (HHS) están dándonos un apoyo significativo y anoche nos emitió este Aviso Conjunto de Ciberseguridad (Cybersecurity Advisory – CSA). A nivel local, el llamado es a redoblar esfuerzos y sobre todo estar alerta y al día de las nuevas modalidades», dijo el licenciado Pabón, quien actualmente estudia una certificación de transformación digital en cuidado de la salud en la Medical School de Harvard.
“El Buró Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS) están emitiendo este Aviso Conjunto de Ciberseguridad (Cybersecurity Advisory – CSA) para difundir indicadores conocidos de compromiso (Indicators of Compromise – IOCs) y tácticas, técnicas y procedimientos (Tactics, Techniques, and Procedures – TTPs) utilizados en una campaña de ingeniería social dirigida a entidades y proveedores de salud pública y del sector salud. «Actores de amenazas están utilizando esquemas de phishing para robar credenciales de inicio de sesión para obtener acceso inicial y desviar pagos de la cámara de compensación automatizada (Automated Clearing House – ACH) a cuentas bancarias controladas en EE. UU. Las organizaciones de salud son objetivos atractivos para los actores de amenazas debido a su tamaño, dependencia tecnológica, acceso a información de salud personal y los impactos únicos de las interrupciones en la atención al paciente,» explicó Pabón, quien es ex presidente del Colegio de Administradores de Servicios de Salud en Puerto Rico.
El FBI y el HHS exhortaron a las organizaciones a implementar las recomendaciones en la sección de Mitigaciones del CSA que dijo que “se está compartiendo con los hospitales para reducir la probabilidad y el impacto de los incidentes de ingeniería social. Por ejemplo, se está distribuyendo un listado de teléfonos que se deben bloquear esos números e identificar en los MDM (Mobile Device Manager) si alguien de la compañía ha estado en contacto”.
Pabón explicó que basado en informes previos de ataques cibernéticos y análisis forenses, el FBI y el HHS observaron consistencia en las TTPs utilizadas en ataques cibernéticos contra el sector de salud. Actores de amenazas desconocidos obtuvieron acceso inicial a las cuentas de correo electrónico de los empleados y luego se dirigieron específicamente a la información de inicio de sesión relacionada con el procesamiento de pagos de reembolso a compañías de seguros, Medicare o entidades similares. Para obtener acceso inicial a las redes de las víctimas, el actor de amenazas adquirió credenciales a través de ingeniería social o phishing. En algunos casos observados, el actor de amenazas llamó al servicio de asistencia técnica de una organización haciéndose pasar por un empleado de la organización y desencadenó un restablecimiento de contraseña para la cuenta organizacional del empleado objetivo [T1566.004]. En algunos casos, al manipular a los empleados del servicio de asistencia técnica, el actor de amenazas pudo eludir la autenticación multifactor (Multifactor Authentication – MFA) [T1556.006]. En otro caso, los actores de amenazas registraron un dominio de phishing [T1556.001] que variaba por un carácter del dominio verdadero de la organización objetivo y se dirigieron al Director Financiero (Chief Financial Officer – CFO) de la organización [TA1656]. Los actores de amenazas a menudo tienen información de identificación personal (Personally Identifiable Information – PII) del empleado suplantado, obtenida de violaciones de datos, lo que permite al actor de amenazas confirmar la identidad de los empleados objetivo por teléfono.
