Saltar al contenido principal

Tema de la publicación: Inteligencia de amenaza

Salud-ISAC Informe del Sector Salud – T3 2025

Escrito por Julia Annaloro on . Publicado en Recursos y noticias, Inteligencia de amenaza, Otros, Documentación Técnica.

Health-ISAC Heartbeat proporciona observaciones sobre ransomware, tendencias de ciberdelincuencia y publicaciones en foros de actores maliciosos que podrían afectar a las organizaciones del sector salud. Este producto facilita el conocimiento de la situación.

Temas:

  • Ataques de ransomware en el sector salud
  • Análisis de eventos globales
  • Tendencias de alertas específicas
  • Actividad de los foros subterráneos
  • Perfiles de actores de amenazas y mitigaciones
  • Recomendaciones adicionales

 

 

Mitigaciones intersectoriales: araña dispersa

Escrito por Julia Annaloro on . Publicado en Actualizaciones especiales, Inteligencia de amenaza.

Orientación para la defensa proactiva

Producido por Servicios Financieros ISAC, Tecnología de la Información ISAC, Alimentos y Agricultura ISAC, Salud ISAC, Aviación ISAC, Automotriz ISAC, Venta Minorista y Hotelería ISAC, el Sistema de Transporte Marítimo ISAC, Electricidad ISAC y el Consejo Nacional de ISAC, con contribuciones de socios del sector privado de Comunicaciones ISAC.

Descargar

Versión de texto:

Análisis de la amenaza de las arañas dispersas

Introducción

Los miembros del Consejo Nacional de ISAC (NCI) evalúan con gran confianza que el grupo de actores de amenazas Scattered Spider representa una amenaza real y que su capacidad para explotar vulnerabilidades humanas a través de la ingeniería social hace que el grupo sea un riesgo significativo para las organizaciones.

Este análisis detalla la actividad de Scattered Spider en función de su experiencia comercial observada en todos los sectores a mayo de 2025, proporcionando:

🔹 Antecedentes sobre Scattered Spider para que las empresas puedan delimitar mejor su superficie de amenazas

🔹 Procedimientos técnicos y prácticas culturales para frustrar los ataques de la Araña Dispersa

🔹 Miembro del Centro de Análisis e Intercambio de Información (ISAC) e inteligencia del FBI y MITRE ATT&CK correspondiente® mitigaciones

Las medidas recomendadas han demostrado ser eficaces contra Scattered Spider y actores de amenazas similares, según la evaluación de inteligencia realizada por expertos. Las mitigaciones incorporan las necesidades básicas de FS-ISAC. fundamentos cibernéticos, adaptado a las TTP (tácticas, técnicas y procedimientos) de Scattered Spider según amenazas conocidas.

Sin embargo, los actores de amenazas como Scattered Spider están innovando constantemente, por lo que las organizaciones deben ser diligentes en el monitoreo continuo de sus procesos e identidades para buscar nuevos exploits.

Estos hallazgos fueron elaborados en colaboración por los ISAC de Servicios Financieros, Tecnologías de la Información, Alimentación y Agricultura, Salud, Aviación, Automoción, Comercio Minorista y Hostelería, y Sistema de Transporte Marítimo, y el NCI. El NCI está compuesto por 28 organizaciones y está diseñado para maximizar el flujo de información entre las infraestructuras críticas del sector privado y las agencias gubernamentales.

Antecedentes y TTP

Scattered Spider es un grupo de jóvenes operadores independientes con motivaciones financieras, más que ideológicas, en el Reino Unido, Estados Unidos y Canadá. Según los investigadores, Scattered Spider forma parte de una comunidad de hackers más amplia conocida como The Community o The Com, que se organiza a través de plataformas en línea, como Discord y chats grupales de Telegram. Scattered Spider utiliza técnicas de ingeniería social altamente efectivas y robo de credenciales para acceder a las redes objetivo y luego monetiza sus ataques mediante el robo de datos, la extorsión o operaciones de ransomware de afiliados. El grupo es conocido por su exhaustivo reconocimiento que identifica perfiles que adoptar o empleados a los que atacar. Gran parte del éxito de Scattered Spider se atribuye a su velocidad y a su enfoque flexible y de bajo esfuerzo.

*****

Barra lateral:

Los actores de amenazas participan con frecuencia en llamadas y teleconferencias de remediación y respuesta a incidentes, probablemente para identificar cómo los equipos de seguridad los están buscando y desarrollar proactivamente nuevas vías de intrusión en respuesta a las defensas de las víctimas. Esto a veces se logra creando nuevas identidades en el entorno y, a menudo, se respalda con perfiles falsos en redes sociales para proteger las identidades recién creadas. Aviso de ciberseguridad: Araña dispersa – un aviso conjunto de la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)

*****

Activo desde principios de 2022, Scattered Spider fue observado inicialmente atacando entidades de telecomunicaciones y externalización de procesos de negocio (BPO), probablemente como trampolín para operaciones de ingeniería social con el fin de obtener acceso no autorizado a otros objetivos y sus partes interesadas. Desde entonces, el grupo ha sido vinculado a más de 100 ataques en múltiples mercados verticales, pero tiende a atacar un sector a la vez. Scattered Spider es conocido por la vulnerabilidad de Caesars Entertainment y MGM Resorts en 2023 y el ataque a Twilio en 2022, que resultó en un ataque a la cadena de suministro que afectó a la aplicación de mensajería Signal. Atacó a minoristas estadounidenses y británicos en abril y mayo de 2025, y posteriormente centró su atención en el sector financiero, en particular las aseguradoras, y el sector de la aviación.

  1. Acceso inicial obtenido a través de:

    >Ataques de ingeniería social

    >Ataques de fatiga de MFA

  2. Captura privilegios de administrador mediante:

    • Descarga de credenciales
    • Credenciales y secretos almacenados

 

3. Persistencia obtenida por:

>Tareas programadas

>Servicios maliciosos

>Creación de usuarios locales

>Mecanismos de persistencia en la nube

 

4. Evasión de defensa habilitada por:

>Desactivación de AV/EDR

>Modificación de las GPO de Windows

>Deshabilitar Defender, el registro o la telemetría

>Eliminar controladores EDR

5. Movimiento lateral mediante:

>PsExec

>Comunicación remota de PowerShell

>WMI

>Conexiones VPN o Citrix legítimas

 

Una táctica típica consiste en persuadir a los agentes de soporte técnico de TI para que realicen restablecimientos de contraseña de autoservicio (SSPR) para cuentas específicas. Las técnicas de Scattered Spider incluyen el uso de mensajes de servicio de mensajes cortos (SMS), es decir, mensajes de texto, y phishing de voz (smishing y vishing) para capturar credenciales para paneles de inicio de sesión único (SSO), Microsoft Office 365/Azure, VPN y dispositivos perimetrales.

El grupo también es conocido por piratear la autenticación multifactor (MFA) mediante el intercambio de la tarjeta SIM. Posteriormente, la vulnera mediante la fatiga de notificaciones o convence a los agentes del servicio de asistencia para que restablezcan el método de MFA en las cuentas objetivo.

Tras comprometer con éxito la cuenta de un usuario, los operativos de Scattered Spider registran otros dispositivos bajo la cuenta. Cuando obtienen privilegios administrativos, crean cuentas controladas por el atacante dentro del entorno de la víctima. Posteriormente, el actor de amenazas establece persistencia para el acceso no autorizado al entorno de la víctima e integra redundancia para frustrar los intentos de eliminar malware o acceder a él.

La actividad de reconocimiento posterior incluye intentar descubrir plataformas corporativas (incluidas Windows, Linux, Google Workspace, Microsoft Entra ID (anteriormente Azure Active Directory), Microsoft 365, AWS y otras herramientas alojadas dentro de la infraestructura de la nube) y moverse lateralmente, descargando las herramientas adecuadas para exfiltrar datos confidenciales.

*****

Barra lateral:

Health-ISAC recibió información que vincula la botnet Amadey con los ataques de Scattered Spider. Esta botnet ha sido utilizada por actores de ransomware como BlackSuit, BlackBasta y Akira para introducir cargadores de malware en las redes de las víctimas. La botnet ha evadido las acciones de las fuerzas de seguridad contra las plataformas de malware como servicio (MaaS), lo que le ha permitido evolucionar desde 2018.

*****

Este profundo conocimiento de la infraestructura nativa de la víctima permite a Scattered Spider ejecutar actividades posteriores nefastas. Gracias a este profundo conocimiento —por ejemplo, su capacidad para ejecutar técnicas de explotación agrícola—, el grupo puede evadir los métodos de detección estándar. El grupo de amenazas también puede implementar malware que instala controladores maliciosos firmados, diseñados para finalizar procesos asociados con software de seguridad y eliminar archivos.

Scattered Spider utiliza nombres de dominio de phishing registrados recientemente y muy convincentes que imitan portales de inicio de sesión legítimos, especialmente páginas de autenticación de Okta. Estos dominios tienen una vida útil o tiempo de actividad corto, lo que dificulta su detección.

Desde 2023, se ha observado que Scattered Spider utiliza cinco kits de phishing distintos, ya que las estrategias de implementación del grupo han evolucionado para incluir proveedores de DNS dinámico. Además, el grupo ha incluido el troyano de acceso remoto (RAT) Spectre en su cadena de ataque para la implementación de malware en sistemas comprometidos y obtener acceso persistente. Este malware incluye mecanismos de desinstalación remota y la intermediación de conexiones a servidores de comando y control (C2) adicionales, lo que sugiere que el grupo podría estar utilizando la infraestructura C2 para realizar acciones posteriores a la explotación en las redes de las víctimas.

*****

Barra lateral:

Nombres de dominio conocidos utilizados por Scattered Spider

  • targetsname-sso[.]com
  • targetsname-servicedesk[.]com
  • targetsname-okta[.]com
  • targetsname-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Araña dispersa Asesoramiento en ciberseguridad Producido conjuntamente por el FBI, CISA, la Real Policía Montada de Canadá, el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia, la Policía Federal Australiana, el Centro Canadiense de Seguridad Cibernética y el Centro Nacional de Seguridad Cibernética del Reino Unido.

*****

Recommendations

Las siguientes recomendaciones han demostrado ser eficaces para los miembros del ISAC. Muchas provienen de FS-ISAC. fundamentos cibernéticos, un enfoque de defensa en profundidad y basado en el riesgo de las necesidades básicas de ciberseguridad aplicables a organizaciones en cualquier nivel de madurez cibernética.

Utilice un proceso de verificación multicanal Ninguna organización debería depender de un único canal de comunicación para las solicitudes de cambio de contraseña o restablecimiento de MFA de sus empleados. Algunas empresas pueden beneficiarse del uso de una lista predeterminada de preguntas que solo el empleado puede responder para iniciar el restablecimiento de contraseña y MFA. Además, los empleados de TI siempre deben sentirse autorizados a cuestionar la solicitud de verificación de cualquier otro empleado.

Pasos de acción:

  • El departamento de TI debe utilizar la verificación multicanal, que incluya:
  • Verificación de solicitudes realizadas por correo electrónico, mensaje de texto o teléfono con devolución de llamada a un número de teléfono previamente registrado y conocido como correcto.
  • PIN estáticos en una credencial física
  • Validación visual
  • Utilice una contraseña vocal que solo conozcan los empleados o un conjunto de respuestas a preguntas difíciles de adivinar, por ejemplo, "¿Cuál es el apellido de soltera de su madre? ¿Cuál fue su fecha de inicio de empleo? ¿Cuál es la clave de su portátil del trabajo?".

Exigir que dos empleados aprueben ciertos tipos de solicitudes, como grandes transferencias financieras, o solicitudes de empleados con un alto nivel de privilegios.

  • Comuníquese con el gerente del empleado cuando el empleado solicite un restablecimiento de las credenciales y la MFA.
  • Fomentar una cultura en la que se espere y se autorice al personal de TI a cuestionar cualquier solicitud inusual o altamente sensible, incluso de los ejecutivos, sin temor a repercusiones.

 

Centrarse en las tácticas de ingeniería social — Scattered Spider se basa en exploits de ingeniería social y es muy creativo en el uso de phishing, vishing y smishing. El grupo de amenazas suele infundir un sentido de urgencia en sus señuelos y se aprovecha del miedo, la empatía y el respeto a la autoridad de las víctimas. Incluya estas tácticas, técnicas y procedimientos en las simulaciones y pruebe las respuestas de los empleados.

Pasos de acción:
  • Implementar capacitaciones obligatorias y continuas de concientización sobre seguridad y simulacros de phishing con señuelos comunes y actuales.
  • Adapte la capacitación al rol: el servicio de asistencia de TI, los representantes de servicio al cliente, el personal de RR. HH. y los ejecutivos de C-Suite pueden requerir una capacitación más detallada y específica sobre las tácticas de los actores de amenazas y las campañas actuales.
  • Capacite a los representantes de servicio al cliente sobre los procedimientos del servicio de asistencia. Por ejemplo, recalque que su servicio de asistencia nunca le pedirá a un empleado que instale software de asistencia remota ni que eluda ningún control de seguridad.
  • Utilice el mínimo privilegio para que los empleados, especialmente los representantes de servicio al cliente, requieran una verificación adicional del usuario final antes de brindar mayor acceso.

 

Revisar los perfiles de redes sociales de los administradores, en particular los administradores de la nube. Los perfiles y publicaciones en redes sociales de los administradores pueden mostrar inadvertidamente información relacionada con el trabajo (es decir, responsabilidades, historial laboral, colegas, rutina diaria) que los actores de amenazas utilizan para adaptar sus ataques (por ejemplo, aprovechando itinerarios de viaje para establecer credibilidad o urgencia en una campaña de vishing). Los administradores de la nube son objetivos específicos. Obtener sus privilegios de acceso les otorgaría acceso y control sobre valiosos recursos en la nube, así como la capacidad de causar daños generalizados. Las empresas deben implementar políticas de redes sociales que describan la información que los actores de amenazas explotan y prohíban dicha información en las publicaciones. Revise periódicamente las redes sociales de los administradores, especialmente sus publicaciones en la nube, para verificar que estén alineadas con la política de redes sociales.

Pasos de acción:
  • Desarrollar y aplicar políticas de redes sociales detalladas y específicas para cada acceso, que expliquen los tipos de información que están —y no están— permitidos para publicar.
  • Realizar auditorías para garantizar el cumplimiento.
  • Brindar capacitación sobre los riesgos de compartir información profesional confidencial.

 

Evaluar los derechos de acceso al Helpdesk Los derechos del Helpdesk pueden variar con el tiempo, a veces otorgando privilegios a todas las consolas de administración, como el flujo de correo, los controles de seguridad, etc. La auditoría de los derechos de acceso del Helpdesk garantiza la alineación con las necesidades operativas, a la vez que previene el acceso no autorizado que podría ser explotado por actores de amenazas como Scattered Spider. Los sistemas de gestión automatizados mejoran la supervisión.

Pasos de acción:
  • Implementar sistemas automatizados para el monitoreo y ajuste continuo de los derechos de acceso.
  • Programe revisiones de acceso periódicas para garantizar la alineación con las funciones del trabajo.

Supervisar máquinas virtuales en entornos de nube Implementar herramientas de monitoreo para generar alertas sobre actividades no autorizadas en máquinas virtuales (VM), como servicios sospechosos, uso anormal de recursos e intentos de escalada de privilegios, con protocolos para aislar y desactivar rápidamente las VM sospechosas. Esta capacidad de respuesta rápida es crucial para identificar actividades sospechosas, prevenir posibles brechas de seguridad y mitigar amenazas.

Pasos de acción:
  • Desarrollar una lista de actividades permitidas.
  • Implementar sistemas de monitoreo y alerta y buscar brechas en ellos.
  • Establecer protocolos de respuesta rápida para actividades no autorizadas.
  • Elimine las herramientas RMM innecesarias e incorpore honeytokens en torno al uso de herramientas RMM para la detección temprana y la definición de huellas dactilares.
  • Configure navegadores y tareas para eliminar periódicamente las cookies persistentes.
  • Minimiza el tiempo durante el cual una cookie web es viable: Scattered Spider las utiliza para establecer acceso persistente y exfiltración de datos.

 

Revisar los controles de seguridad de la infraestructura de escritorios virtuales Asegúrese de que los entornos de infraestructura de escritorio virtual (VDI) estén protegidos con MFA y supervise continuamente las actividades de los usuarios.

Pasos de acción:
  • Revise la lista de usuarios de VDI para asegurarse de que esté actualizada.
  • Hacer cumplir la MFA.
  • No permita que los dispositivos personales tengan acceso directo a Office 365, Enterprise Google Workspace, VPN corporativas, etc.
  • Exija una MFA resistente a la suplantación de identidad (phishing), como YubiKeys, Windows Hello para empresas, etc. No confíe en que los usuarios aprueben solicitudes de MFA o entreguen códigos.
  • Si una organización tiene VDI para permitir el acceso de terceros, asegúrese de que esos VDI no puedan acceder a Secure Shells (SSH) o protocolos de escritorio remoto (RDP), ni llegar a sitios web que no sean necesarios para que el usuario realice su trabajo.
  • Realizar auditorías periódicas y monitorización en tiempo real de todas las sesiones de los usuarios.
  • Confirme que no haya MFA a través de SMS en ninguna aplicación, incluidas las aplicaciones de proveedores. La MFA basada en SMS puede introducir riesgos importantes porque:
      • Los mensajes SMS pueden ser interceptados porque no están cifrados
      • Los atacantes pueden eludir la MFA mediante ingeniería social
      • Los actores de amenazas pueden obtener el control de un número de teléfono, interceptar mensajes SMS y obtener acceso no autorizado mediante el intercambio de SIM.
      • Las interrupciones pueden impedir que los usuarios reciban códigos de autenticación

 

Identificar puntos de acceso y bloquear el acceso de alto riesgo Muchas organizaciones deben permitir el acceso a sus infraestructuras digitales a empleados, organismos reguladores, proveedores externos y otros. Proteja todos los puntos de entrada, especialmente los de alto riesgo, con controles o bloqueos, y asuma que todos los proveedores de servicios gestionados están comprometidos.

Pasos de acción:
  • No le dé a ningún tercero acceso sin restricciones a una red corporativa.
  • Reemplace las VPN de sitio a sitio con VDI utilizando MFA resistente a phishing y confianza cero siempre que sea posible.
  • Identifique y bloquee dominios recién creados que parezcan ser posibles sitios de phishing (por ejemplo, nombres de dominio con errores tipográficos).
  • Bloquear cualquier ejecutable RAT para que no se ejecute en dispositivos administrados.
  • Bloquear los sitios web de todas las herramientas de asistencia remota comerciales conocidas.
  • Implementar el bloqueo geográfico cuando sea posible.
  • Bloquee las VPN comerciales que se conectan a la VPN o VDI corporativa con un servicio como ip2proxy o Spur.
  • Bloquear los tipos de dispositivos en la VPN si no son utilizados por los representantes de atención al cliente. (Los adversarios suelen usar dispositivos Android x86).

 

Permisos de auditoría otorgados a RR.HH. Alinear estrictamente los permisos de RRHH con las necesidades operativas protege los datos financieros y confidenciales de los empleados.

Pasos de acción:
  • Realizar una auditoría integral de los permisos de acceso de RRHH.
  • Revisar los derechos de acceso de vendedores y proveedores.
  • Educar al personal de RRHH sobre los riesgos de la ciberseguridad y el manejo adecuado de datos.

 

Utilidades de movimiento de datos de investigación en aplicaciones SaaS El monitoreo y seguimiento de los movimientos de datos dentro de sistemas SaaS (Software-as-a-Service) (por ejemplo, Salesforce o ServiceNow) es fundamental porque las aplicaciones SaaS a menudo tienen utilidades de movimiento de datos (de terceros) disponibles para diversos propósitos y pueden contener información confidencial.

Pasos de acción:
  • Integre la supervisión de la utilidad de movimiento de datos en los datos de registro.
  • Configure alertas y controles automatizados para actividad de datos inusual.

 

Revisar las direcciones IP confiables exentas de MFA Las organizaciones pueden reducir el rigor de MFA con respecto a las solicitudes de una red confiable, como una VPN, una red de oficina, etc. Minimizar estas exenciones de MFA fortalece los controles de acceso a la red, un paso vital para proteger los datos financieros y confidenciales.

Pasos de acción:
  • Reevaluar y actualizar la lista de direcciones IP confiables en el entorno.
  • Reemplace la lista blanca de IP estática con políticas de acceso condicional dinámicas.

 

Reconocer la amenaza interna que representan los representantes de servicio al cliente — Scattered Spider suele obtener acceso inicial a los sistemas empresariales engañando a los representantes de atención al cliente, pero también los recluta. Analice periódicamente para detectar actividad potencialmente maliciosa.

Pasos de acción:
  • Examine la actividad de los representantes de servicio al cliente para detectar señales de un posible compromiso, como:
    • Una gran cantidad de restablecimientos de contraseña o visitas a cuentas en un corto período de tiempo
    • Acceder a cuentas de clientes sin que coincidan los pasos de verificación (por ejemplo, ingresar el PIN del cliente, comparar con ANI, etc.)
    • “Malabarismo de credenciales”, es decir, iniciar sesión en la VPN con credenciales diferentes a las utilizadas para acceder a las herramientas de CSR
  • Busque en los registros de texto de soporte de chat/correo electrónico intentos de reclutamiento mediante búsquedas de cadenas que hagan referencia a términos comunes utilizados en las solicitudes, como "Telegram", "Wickr" o "Hazte rico".
  • Implementar acceso limitado en el tiempo para los representantes de servicio al cliente para credenciales y VPN, y alertar sobre cualquier inicio de sesión fuera del horario laboral normal de los agentes.

 

Tácticas y mitigaciones de las arañas dispersas

La siguiente tabla incluye el análisis de inteligencia compartido por miles de organizaciones miembro realizado por expertos en ciberseguridad de ISAC. Muchas de las tácticas fueron descubiertas por el FBI durante las investigaciones de Scattered Spider, las cuales se describen en el informe conjunto. Aviso de ciberseguridad de CISA y FBI Scattered SpiderLas mitigaciones de MITRE ATT&CK se extraen de su análisis de TTP, basado en las observaciones del mundo real de la organización.

VER EN EL PDF DE ARRIBA.

 

 

Panorama de ciberamenazas del sector salud 2025 de Health-ISAC – ahora en portugués

Escrito por Julia Annaloro on . Publicado en En las noticias, Actualizaciones especiales, Inteligencia de amenaza, Documentación Técnica.

Actualizado el 30 de mayo de 2025.

Una Tradução em português deste relatório foi adicionada abaixo.
(A continuación se añade una traducción al portugués de este informe)

 

Informe anual sobre amenazas – 2025

2024 fue un año desafiante en materia de ciberseguridad para los sistemas del sector salud en todo el mundo.

El panorama de ciberamenazas del sector de la salud de Health-ISAC 2025 destaca una escalada continua de ciberataques. Entre los hallazgos clave se incluye un aumento de los ataques de ransomware, con técnicas cada vez más sofisticadas empleadas por los actores de amenazas.

El informe también destaca la creciente amenaza de los actores de los estados nacionales y el ciberespionaje, que tienen como blanco los datos confidenciales de los pacientes y la propiedad intelectual. Además, el auge de los dispositivos de Internet de las cosas médicas (IoMT) ha introducido nuevas vulnerabilidades, mientras que el cambiante panorama de amenazas requiere una adaptación continua de las medidas de seguridad para las organizaciones del sector de la salud a nivel mundial.

Incluye lo siguiente, además de información clave extraída de los datos de la encuesta:
  • Las cinco principales amenazas cibernéticas que las organizaciones del sector salud enfrentarán en 2024
  • Las cinco principales amenazas cibernéticas que las organizaciones del sector de la salud están considerando en 2025
  • Los tres principales desafíos que los fabricantes de dispositivos médicos señalaron para el desarrollo de dispositivos médicos seguros
  • Los tres principales impactos en las organizaciones de prestación de servicios de salud

Informe anual de amenazas de salud ISAC 2025
Tamaño: 7.1 MB Formato: (PDF)

Relatório Anual de Ameaças – 2025

2024 foi um ano desafiador em termos de seguridad cibernética para sistemas del sector de salud en todo el mundo.

El anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 destaca una escalada continua de ataques cibernéticos. Como principales conclusiones se incluyen un aumento en los ataques de ransomware, con técnicas cada vez más sofisticadas empleadas por agentes de amenazas.

El relato también enfatiza la creciente amistad de agentes estatais-nação e da ciberespionagem, visando e da ciberespionagem, visando datos sensíveis de pacientes e propiedad intelectual. Además, el surgimiento de dispositivos de Internet de las Coisas Médicas (IoMT) introduce nuevas vulnerabilidades, mientras que el escenario de amenazas en evolución exige una adaptación continua de medidas de seguridad para las organizaciones del sector de la salud en todo el mundo.

Incluyendo lo siguiente, además de ideas importantes extraídos de los datos de la investigación:

  • As cinco principais ameaças cibernéticas enfrentadas pelas organizações do setor da saúde em 2024
  • As cinco principais ameaças cibernéticas que as organizações do sector da saúde estão enfrentado em 2025
  • Los tres principios desafios relacionados pelos fabricantes de dispositivos médicos no desarrollo de dispositivos médicos seguros
  • Los tres principales impactos en las organizaciones de prestación de servicios de salud

 

Salud ISAC Setor De Saúde 2025 Panorama De Ameaças Cibernéticas
Tamaño: 2.6 MB Formato: (PDF)

El riesgo de seguridad de DeepSeek es un recordatorio crítico para los CIO

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, En las noticias.

Actualizado el 31 de enero de 2025 a las 12:12 p. m. EST
 

Este artículo de Forbes cubre los siguientes temas:

  • Fallas de seguridad críticas en el sistema de DeepSeek
  • Enseñar y supervisar
  • Aprobación del contrato del CIO
  • Práctica de respuesta ante infracciones

Cita extraída de Health-ISAC:

La respuesta rápida es especialmente crítica cuando se trata de infracciones que involucran tecnología no compatible. La propuesta reciente HIPAA La norma exige que las organizaciones sanitarias restablezcan los sistemas en un plazo de 72 horas. Errol Weiss, director de seguridad de Salud-ISAC, Dijo que estas tres áreas a continuación son clave.

  • La velocidad es crucial: Cuanto más rápido responda a un incidente cibernético, menos daño podrá infligir el atacante.
  • Siga su plan de respuesta a incidentes: Si tiene un plan de respuesta a incidentes predefinido, sígalo de cerca.
  • Busque ayuda de expertos: Si carece de experiencia interna, considere contratar profesionales externos en ciberseguridad.

Lea el artículo en Forbes. Haga clic aquí

Boletín de amenazas: el software RMM de SimpleHelp se utilizó en un intento de explotación para vulnerar las redes

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, Recursos y noticias, Inteligencia de amenaza.

TLP BLANCO –

Actualización 30 de enero de 2025

Health-ISAC, en colaboración con AHA, ha identificado intentos y ataques de ransomware en curso posiblemente debidos a vulnerabilidades del software de monitoreo y gestión remota (RMM) SimpleHelp. En función de la amenaza potencial y el impacto en la atención al paciente, AHA trabajó con Health-ISAC para garantizar que este boletín se distribuya ampliamente en el sector de la salud.  
 
Se recomienda encarecidamente que se identifiquen todas las instancias de la aplicación SimpleHelp, especialmente en las organizaciones de atención médica, y que se apliquen los parches adecuados según las instrucciones del boletín. También se recomienda encarecidamente que las organizaciones de atención médica se aseguren de que todos los socios comerciales y de terceros que utilicen SimpleHelp también apliquen los parches adecuados.

Enero 29, 2025

Recientes la presentación de informes indica que los actores de amenazas están explotando vulnerabilidades parcheadas en el software SimpleHelp Remote Monitoring and Management (RMM) para obtener acceso no autorizado a redes privadas. Estas vulnerabilidades, identificadas como CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728, fueron descubiertas por investigadores de Horizon3 a fines de diciembre de 2024 y reveladas a SimpleHelp el 6 de enero, lo que llevó a la empresa a lanzar parches. Las fallas se hicieron públicas revelada después de que se lanzaron los parches el 13 de enero de 2025.

Esta campaña destaca la importancia de la gestión de parches, ya que los actores de amenazas utilizan exploits dentro de una semana de su divulgación pública. 

Las vulnerabilidades identificadas en SimpleHelp RMM podrían permitir a los atacantes manipular archivos y escalar privilegios a administradores. Un actor de amenazas podría encadenar estas vulnerabilidades en un ataque para obtener acceso administrativo al servidor vulnerable y luego usar ese acceso para comprometer el dispositivo que ejecuta el software cliente SimpleHelp vulnerable. 

TLPWHITE Cb3ee67f El software Simplehelp Rmm se aprovecha de un intento de explotación para vulnerar las redes
Tamaño: 139.4 kB Formato: (PDF)

 

Amenazas potenciales para los ejecutivos del sector sanitario circulan en Internet

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, En las noticias.

 

Tras el trágico tiroteo del director ejecutivo de UnitedHealthcare en la ciudad de Nueva York el 4 de diciembre, Health-ISAC emitió una alerta a sus miembros el 9 de diciembre identificando once acciones de precaución que las organizaciones del sector de la salud deberían tomar.

Health-ISAC ha recibido informes sobre múltiples publicaciones en línea que amenazan a ejecutivos del sector de la salud. Se han identificado foros como una fuente de amenazas dirigidas a directores ejecutivos de la industria de la salud, en particular a los que dirigen importantes compañías de seguros de salud y empresas farmacéuticas. Health-ISAC ha publicado un boletín de amenazas para informar al sector de la salud mundial sobre lo que debe tener en cuenta y recomendar medidas de mitigación que las organizaciones deben tomar de inmediato. Léalo y compártalo dentro del sector de la salud.

Circulan en Internet amenazas potenciales para los ejecutivos del sector sanitario
Tamaño: 3.6 MB Formato: (PDF)

 

Estas amenazas, que van desde la intimidación general hasta los llamados específicos a la violencia, han surgido a raíz del reciente asesinato de un director ejecutivo de UnitedHealthcare. Es importante señalar que el autor de este reciente asesinato aún no ha sido detenido y la investigación sobre los posibles motivos aún está en curso.

Si bien estas amenazas circulantes no han sido verificadas, Health-ISAC recomienda una mayor conciencia de seguridad entre los ejecutivos de atención médica y medidas de seguridad más estrictas para garantizar la seguridad. 

Los llamados a la violencia pueden extenderse al ámbito cibernético, lo que lleva a los hacktivistas a realizar ataques DDoS y otros ataques disruptivos contra el sector de la salud. Health-ISAC recomienda que los miembros se mantengan alertas para proteger toda la infraestructura y que las organizaciones compartan todos los detalles que puedan sobre las amenazas a los ejecutivos para que podamos mantener informada a la comunidad.

La recopilación de métricas de vulnerabilidad cibernética es fundamental

Escrito por Julia Annaloro on . Publicado en En las noticias.

Recopilar métricas de vulnerabilidad cibernética es fundamental, pero comunicarlas a las partes interesadas de forma clara y convincente es clave, afirma el informe de H-ISAC

A medida que la industria de la salud se vuelve más dependiente de sistemas digitales interconectados, la importancia de una gestión sólida de la vulnerabilidad nunca ha sido más pronunciada. (reporte) por Salud-ISAC, Métricas y generación de informes sobre vulnerabilidades, arroja luz sobre las mejores prácticas y estrategias para fortalecer la ciberseguridad en los sistemas de salud.

Lea el artículo completo en HealthSystemCIO.com Haga clic aquí

 

Guía para CTI en un formato compacto

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, Recursos y noticias, Documentación Técnica.

Este informe técnico presenta un análisis de una encuesta realizada entre los miembros de Health-ISAC por el Grupo de trabajo de desarrollo del programa de inteligencia sobre amenazas cibernéticas (CTI). La encuesta tenía como objetivo proporcionar información crítica sobre el estado actual de los programas de CTI en el sector de la salud, identificando fortalezas y oportunidades de crecimiento.

 

Propósito

Los resultados de la encuesta fueron fundamentales para orientar los esfuerzos del Grupo de Trabajo para priorizar los resultados de alto valor y fomentar la colaboración dentro de la comunidad de Salud-ISAC. Estos hallazgos han servido de base para el desarrollo de recursos prácticos diseñados para apoyar y promover las iniciativas de CTI.

Principales Conclusiones

El artículo explora Hallazgos clave de 9 de la encuesta, que han influido directamente en la creación de recursos y herramientas adaptados a las necesidades de los miembros de Health-ISAC. Estos hallazgos sirven como base para un conjunto de recursos innovadores denominado CTI en una cajaEste recurso integral organiza herramientas, estrategias y mejores prácticas esenciales para empoderar a los miembros de Health-ISAC en el fortalecimiento de sus programas de CTI. Los miembros pueden acceder CTI en una caja a través de la Portal de inteligencia sobre amenazas de Health-ISAC (H-TIP).

 

Haga clic aquí

Continuar leyendo

Cyware lanza una plataforma de inteligencia de amenazas para proteger a las organizaciones de atención médica de las amenazas cibernéticas

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, En las noticias.

Una plataforma de inteligencia de amenazas adaptada a la industria para defender a las organizaciones de atención médica de las amenazas cibernéticas

Esta solución especialmente diseñada brinda a los equipos de seguridad de atención médica información sobre amenazas específicas para la atención médica y capacidades de respuesta automatizadas.

Mención en los medios:

Errol Weiss, director de seguridad de Health-ISAC y cliente de Cyware, Expresó la necesidad crítica de esta innovación: “El sector de la salud es uno de los más atacados por los cibercriminales. Contar con una plataforma de inteligencia de amenazas diseñada específicamente para nuestra industria permitirá a las organizaciones de atención médica acceder rápidamente a información relevante y procesable que puede marcar una diferencia tangible en la defensa contra ataques sofisticados”.

Rachel James, miembro del Comité de Inteligencia sobre Amenazas de Salud-ISAC, señaló: “En un entorno en el que el tiempo es crítico, los equipos de seguridad de la atención médica necesitan herramientas que les permitan hacer más con menos esfuerzo pero con mayor precisión. La plataforma de inteligencia sobre amenazas de atención médica de Cyware está diseñada para identificar y responder rápidamente a las amenazas específicas de la atención médica, lo que permite a las organizaciones mantenerse a la vanguardia de los ataques sin verse abrumadas por la complejidad”.

Lea el comunicado de prensa completo en BusinessWire:

Haga clic aquí

Métricas y generación de informes sobre vulnerabilidades

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, Documentación Técnica.

Un informe técnico publicado por el Grupo de trabajo de gestión de vulnerabilidades de Health-ISAC

En el mundo interconectado y siempre activo de hoy, la gestión de vulnerabilidades es un proceso fundamental para todas las organizaciones. Las métricas y los informes desempeñan un papel fundamental en el seguimiento de los servicios que brindamos, la implementación de capacidades de detección y los esfuerzos de reparación de los equipos de aplicaciones o tecnología. Una narración eficaz con métricas e informes puede ayudar a mostrar las mejoras o la eficacia de nuestro personal de soporte tecnológico. El equipo de gestión de vulnerabilidades debe tener un sistema de puntuación que refleje los plazos de reparación de la organización.

Métricas y generación de informes sobre vulnerabilidades (1)
Tamaño: 2.3 MB Formato: (PDF)