El Negociado Federal de Investigaciones (FBI, en inglés) y el Departamento de Salud federal (HHS, en inglés) emitieron anoche un aviso conjunto de ciberseguridad (Cyberseurity Advisory – CSA) a las instituciones de salud en Puerto Rico.

Esto, pues más de 40 instituciones hospitalarias han tenido ciberataques y se han reportado miles intentos de “hacking” mensuales, dijo el administrador de servicios de salud y hospitales, Ramón Alejandro Pabón.

Con este aviso, las agencias federales buscan difundir indicadores conocidos de compromiso (Indicators of Compromise - IOCs) y tácticas, técnicas y procedimientos (Tactics, Techniques, and Procedures - TTPs) utilizados en una campaña de ingeniería social dirigida a entidades y proveedores de salud pública y del sector salud.

Basado en informes previos de ataques cibernéticos y análisis forenses, las agencias federales observaron consistencia en las TTPs utilizadas en ataques cibernéticos contra el sector de salud.

Desconocidos obtuvieron acceso inicial a las cuentas de correo electrónico de los empleados y luego se dirigieron específicamente a la información de inicio de sesión relacionada con el procesamiento de pagos de reembolso a compañías de seguros, Medicare o entidades similares.

Para obtener acceso inicial a las redes de las víctimas, estas personas adquirieron credenciales a través de ingeniería social o “phishing”.

“Actores de amenazas están utilizando esquemas de ‘phishing’ para robar credenciales de inicio de sesión para obtener acceso inicial y desviar pagos de la cámara de compensación automatizada (Automated Clearing House - ACH) a cuentas bancarias controladas en Estados Unidos. Las organizaciones de salud son objetivos atractivos para los actores de amenazas debido a su tamaño, dependencia tecnológica, acceso a información de salud personal y los impactos únicos de las interrupciones en la atención al paciente,” explicó Pabón, el también licenciado y expresidente del Colegio de Administradores de Servicios de Salud en Puerto Rico.

En algunos casos observados, los desconocidos llamaban al servicio de asistencia técnica de una organización haciéndose pasar por un empleado de la organización y desencadenaba un restablecimiento de contraseña para la cuenta organizacional del empleado objetivo.

También, manipulaban a los empleados del servicio de asistencia técnica y eludían la autenticación multifactorial (Multifactor Authentication - MFA).

Entretanto, otros registraron un dominio de “phishing” que variaba por un carácter del dominio verdadero de la organización objetivo y se dirigieron al Director Financiero (Chief Financial Officer - CFO) de la organización.

Los “hackers” de amenazas tienen información de identificación personal (Personally Identifiable Information - PII) del empleado suplantado, obtenida de violaciones de datos, lo que les permite confirmar la identidad de los empleados objetivo por teléfono.

El FBI y el HHS exhortaron a las organizaciones a implementar las recomendaciones en la sección de Mitigaciones del CSA que dijo que “se está compartiendo con los hospitales para reducir la probabilidad y el impacto de los incidentes de ingeniería social. Por ejemplo, se está distribuyendo un listado de teléfonos que se deben bloquear esos números e identificar en los MDM (Mobile Device Manager) si alguien de la compañía ha estado en contacto”.