En años pasados, las instalaciones médicas no eran tan vulnerables como ahora; los piratas informáticos tenían una regla no escrita de no atacar instituciones o servicios donde una interrupción pudiera poner a las personas en peligro físico.
Pero eso ya no es así: el ransomware como servicio ha proliferado y la información médica robada se ha vuelto altamente monetizable, lo que impulsa a los actores de amenazas a atacar hospitales a niveles sin precedentes.
Alberta Health Services (AHS) no tiene intención de quedar vulnerable: el sistema médico está reforzando sus defensas con IA.
Al implementar operaciones cibernéticas reforzadas con IA de la plataforma de ciberseguridad Securonix , AHS ha reducido su tiempo promedio de respuesta a incidentes de alta prioridad en más de un 30 %. También ha reducido las alertas de falsos positivos en un 90 % y la carga de trabajo de 2 a 3 horas diarias, lo que se traduce en un ahorro de cientos de miles de dólares.
“Muchas redes hospitalarias son blancos fáciles y voraces”, declaró Richard Henderson, director ejecutivo y CISO de AHS, a VentureBeat. “No duermo mucho porque me aterra recibir esa llamada a las 2 de la madrugada diciendo que todo nuestro entorno se ha caído debido al ransomware”.
Realizar el trabajo de 1.000 (o sustancialmente más) analistas de SOC
AHS es la segunda red hospitalaria más grande de América del Norte y la instancia individual más grande del mundo de la plataforma de registros médicos electrónicos (EHR) Epic.
Henderson explicó que él y su equipo son responsables de la ciberseguridad de 106 hospitales, 800 clínicas, 20.000 médicos y 150.000 empleados que atienden a entre 4,5 y 5 millones de albertanos. Describió a AHS como una “organización local masiva”, con todas las instalaciones conectadas a la misma instalación de Epic.
Entonces, señaló Henderson, «si baja, baja para todos. Y no es exagerado decir que, si baja, podría tener un gran impacto en la vida de un paciente».
Tampoco es una exageración decir que una interrupción total de Epic, independientemente de si está relacionada con ransomware o no, podría fácilmente costarle a la provincia de Alberta entre 500.000 y 600.000 dólares por hora, dijo.
Para evitar estas situaciones, AHS ha implementado la plataforma Securonix en su entorno. Esto incluye las capacidades de detección, investigación y respuesta a amenazas (TDIR) de la empresa de ciberseguridad a través de su plataforma de gestión de información y eventos de seguridad (SIEM) basada en IA. Esto proporciona gestión de registros, análisis de comportamiento y un lago de datos de seguridad en un solo paquete.
Henderson explicó que la red médica consume terabytes de datos en su SIEM y se basa en la arquitectura nativa de la nube de Securonix para gestionar la normalización y el enrutamiento de datos. Snowflake impulsa gran parte de ese backend.
El análisis de comportamiento es fundamental en la estrategia de detección de AHS. La plataforma de Securonix aprende constantemente qué es lo normal para sus usuarios, endpoints y sistemas, explicó Henderson, lo que ayuda a su equipo a detectar “lo sutil”, como una cuenta de confianza que se comporta “ligeramente fuera de lugar”.
“Se trata de buscar patrones y conectar elementos”, dijo Henderson. “Puedes contratar a 1000 analistas de seguridad y aun así no tendrías suficiente personal para analizar toda la telemetría que consumen las empresas digitales modernas”.
AHS está reduciendo el tiempo de resolución y mejorando los tiempos de respuesta
Por ejemplo, las herramientas basadas en IA de AHS aprenden cómo es el comportamiento normal de la red en sus hospitales . Cuando ocurre algo inusual, como que un dispositivo se comunique repentinamente con un servidor externo con el que nunca antes había tenido contacto, lo detecta de inmediato. Esto puede llevar a los equipos de seguridad a una herramienta mal configurada que podría haber sido explotada si, de otro modo, hubiera pasado desapercibida.
“Esos tipos de configuraciones erróneas han provocado brotes catastróficos de ransomware en otras redes hospitalarias en el pasado”, dijo Henderson.
O, por ejemplo, una carga útil podría resultar sospechosa, pero está ofuscada, lo que significa que los humanos deben intentar averiguar exactamente qué es y qué hace, señaló Henderson. Ahora, pueden pedirle a la plataforma que desofusque la carga útil y determine qué intentaba hacer el atacante, y en cuestión de segundos, esta realiza todo el trabajo.
“Estos últimos dos años, poder hablar con una computadora como si hablaras con una persona ha cambiado radicalmente la percepción de la IA”, dijo. “El procesamiento del lenguaje natural existe desde hace mucho tiempo, pero no a este nivel, y me sigue asombrando su calidad”.
Como resultado, AWS ha podido reducir considerablemente el tiempo de resolución y mejorar su capacidad de respuesta. Henderson afirmó que el tiempo promedio de respuesta a incidentes de alta prioridad se ha reducido en más de un tercio en comparación con el año pasado.
Esto se debe a que la IA está haciendo el trabajo pesado, ayudando a los analistas a comprender qué está sucediendo y qué intenta lograr un atacante, señaló Henderson. En la ciberseguridad moderna, la IA se ha vuelto crucial para la detección de redes, la protección de endpoints, el filtrado de correo electrónico y otras funciones de ciberseguridad. “Mi equipo ahorra horas al día usando herramientas de IA”, afirmó.
La plataforma de Securonix también ha ayudado a reducir el ruido: AHS ha visto una caída sustancial en los falsos positivos que llegan a sus analistas junior, lo que “realmente ayuda a concentrarse y evita el agotamiento”, dijo Henderson.
Señaló que se debate mucho sobre la posibilidad de que la IA sustituya a los niveles inferiores de las operaciones de seguridad. Pero, desde su perspectiva, «la IA no va a sustituir al personal subalterno. Lo que sí hará es ayudarles a aprender más rápido, a realizar mejor su trabajo y a proteger el entorno empresarial».
El aumento de los ataques hace que la educación sea crucial
Dado el gran tamaño de AHS y sus numerosas instalaciones en toda la provincia, el equipo de Henderson necesita rastrear dónde se produce el mayor volumen de incidentes. Esto puede ayudarles a determinar si una región geográfica específica es el objetivo más que otra.
Henderson señaló que Calgary y Edmonton son las dos ciudades más grandes de Alberta, por lo que, naturalmente, cabría esperar que sufrieran una carga considerable de ataques. Sin embargo, no siempre es así; los hospitales rurales más pequeños suelen ser el objetivo porque los actores de amenazas asumen que sus defensas son más débiles.
La IA le permite a él y a su equipo mantener un registro actualizado de dónde ocurren los incidentes para planificar acciones de apoyo adicionales si es necesario. Henderson dedica mucho tiempo al aspecto humano de la seguridad, comentó, capacitando al personal de enfermería y a los médicos de AHS sobre campañas de ataque anteriores para que sepan qué buscar.
“Así que, si vemos un repunte en nuestros hospitales rurales, sin duda crearé una campaña educativa para decir: ‘Están atacando a los hospitales rurales porque creen que son un blanco más fácil. Este es el tipo de cosas que deberían buscar’”, explicó.
Fuente.
VentureBeat (2025, 20 de junio). Los ciberataques hospitalarios cuestan 600.000 dólares por hora. Así es como la IA está cambiando las matemáticas. Recuperado el 09 de julio de 2025, de: https://venturebeat.com/security/hospital-cyber-attacks-cost-600k-hour-heres-how-ai-is-changing-the-math/
