OP.MON.1 Detección de intrusión
De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad OP.MON.1 Detección de intrusión sí aplica dada la categoría de seguridad del sistema.
Documentos de referencia
- ISO/IEC 27000:
- 27002:2013:
- 12.6.1 - Management of network security vulnerabilities
- 16.1.1 - Responsibilities and procedures
- 16.1.2 - Reporting information security events
- 27002:2013:
- NIST SP 800-53 rev4:
- [SI-4] Information System Monitoring
- [IR-4] Incident Handling
- [AU-6] Audit Review, Analysis, and Reporting
- Otras referencias:
- NIST Cybersecurity Framework
- FDA Cybersecurity in Medical Devices: Quality System Considerations
- NIS2 Directive - Technical and organizational measures
Guía de implantación
- Se desplegarán medios técnicos y organizativos que permitan la detección de una posible intrusión en el dominio gestionado.
Incluirán al menos:
- Herramientas de monitorización de eventos de seguridad
- Procedimientos de análisis de eventos de seguridad
- Procedimientos de gestión de incidentes de intrusión
- Procedimientos de coordinación con terceros externos para la gestión de intrusiones
Implementación en Legit Health Plus
Arquitectura de detección de intrusión
El sistema de detección de intrusión de Legit Health Plus implementa un modelo de defensa en profundidad específicamente diseñado para proteger servicios de diagnóstico médico críticos.
Componentes principales
Network-based IDS (NIDS)
Configuración de sistema de detección de intrusión basado en red:
| Aspecto | Detalle |
|---|---|
| Herramienta principal | Suricata + Zeek (Bro) |
| Despliegue | Tráfico reflejado desde VPC flow logs |
| Cobertura | • Todo el tráfico de entrada/salida • Comunicaciones inter-servicios • Conexiones de base de datos • API endpoints médicos |
Reglas de detección:
| Categoría de ataques | Descripción |
|---|---|
| Ataques OWASP Top 10 | Inyección SQL, XSS, CSRF, etc. |
| Ataques específicos a dispositivos médicos | Explotación de vulnerabilidades de dispositivos médicos |
| Patrones de exfiltración de datos | Detección de transferencias masivas de datos |
| Indicadores de movimiento lateral | Detección de propagación dentro de la red |
Host-based IDS (HIDS)
Configuración de sistema de detección de intrusión basado en host:
| Aspecto | Detalle |
|---|---|
| Herramienta principal | CrowdStrike Falcon + OSSEC |
| Despliegue | Todos los servidores y estaciones de trabajo críticos |
Monitorización:
| Aspecto | Descripción |
|---|---|
| Integridad de archivos (algoritmos médicos) | Verificación de que algoritmos diagnósticos no sean modificados |
| Anomalías de ejecución de procesos | Detección de procesos sospechosos o no autorizados |
| Cambios en registry/configuración | Monitorización de modificaciones de configuración |
| Intentos de escalado de privilegios | Detección de intentos de elevar permisos |
Reglas específicas médicas:
| Regla | Descripción |
|---|---|
| Acceso no autorizado a datos de pacientes | Detección de accesos anómalos a información clínica |
| Detección de manipulación de modelos IA | Alertas cuando se modifican modelos de machine learning |
| Modificaciones de base de datos clínica | Cambios no autorizados en tablas de datos médicos |
| Manipulación de logs de auditoría | Intentos de alterar o eliminar registros de auditoría |
Application-layer Detection
PRO-MON-APP-001: Detección de anomalías en aplicación médica
Objetivo: Detectar anomalías específicas en el comportamiento de la aplicación médica que puedan indicar intentos de compromiso o uso indebido.
Tipos de anomalías detectadas:
1. Patrones de acceso anómalos a diagnósticos
| Aspecto | Detalle |
|---|---|
| Tipo de anomalía | unauthorized_medical_access |
| Severidad | Alta |
| Descripción | Acceso anómalo a datos de diagnóstico |
| Indicadores | Acceso fuera de patrón habitual, horarios inusuales, volumen anormal |
2. Intentos de manipulación de algoritmos IA
| Aspecto | Detalle |
|---|---|
| Tipo de anomalía | ai_model_tampering |
| Severidad | Crítica |
| Descripción | Intento de modificación de modelo IA diagnóstico |
| Indicadores | Acceso no autorizado a modelos, intentos de modificación de pesos/parámetros |
3. Exfiltración masiva de datos clínicos
| Aspecto | Detalle |
|---|---|
| Tipo de anomalía | data_exfiltration |
| Severidad | Crítica |
| Descripción | Posible exfiltración de datos clínicos |
| Indicadores | Acceso masivo a registros de pacientes, exportación de grandes volúmenes de datos |
Proceso de detección:
- Analizar cada solicitud entrante a la aplicación médica
- Evaluar patrones de acceso a datos de diagnóstico
- Verificar intentos de manipulación de algoritmos IA
- Detectar acceso masivo a datos clínicos
- Generar alertas para cada anomalía detectada con tipo, severidad y descripción
- Retornar lista de anomalías para procesamiento por el sistema de respuesta
Detección de amenazas específicas
Amenazas dirigidas a dispositivos médicos
Ataques específicos monitorizados
Amenazas específicas a dispositivos médicos:
Envenenamiento de modelos IA (AI Model Poisoning):
| Aspecto | Detalle |
|---|---|
| Descripción | Intentos de corromper modelos de diagnóstico |
| Métodos de detección | • Monitorización de desviación de rendimiento del modelo • Verificaciones de integridad de datos de entrenamiento • Patrones de comportamiento inesperado del modelo |
| Umbral de alerta | Inmediato (crítico) |
Manipulación de datos clínicos (Clinical Data Tampering):
| Aspecto | Detalle |
|---|---|
| Descripción | Modificación no autorizada de datos clínicos |
| Métodos de detección | • Monitorización de integridad de base de datos • Análisis de trail de auditoría • Validación de checksums |
| Umbral de alerta | < 5 minutos |
Bypass diagnóstico (Diagnostic Bypass):
| Aspecto | Detalle |
|---|---|
| Descripción | Intentos de eludir controles diagnósticos |
| Métodos de detección | • Análisis de desviación de workflow • Intentos de bypass de autenticación • Abuso de endpoints de API |
| Umbral de alerta | < 1 minuto |
Indicadores de compromiso (IoC) médicos
Indicadores de compromiso específicos para entorno médico:
Patrones sospechosos:
| Patrón | Umbral | Marco temporal | Descripción |
|---|---|---|---|
| Acceso masivo a registros de pacientes | 50 registros | 5 minutos | Acceso a múltiples registros de pacientes en corto tiempo |
| Modificaciones fuera de horario clínico | — | 22:00-06:00 | Cambios en datos clínicos fuera del horario habitual |
| Anomalía geográfica | Fuera de UE | — | Acceso desde ubicaciones geográficas inusuales |
| Acceso a algoritmos de IA | No autorizado | — | Intentos de acceso no autorizado a modelos de IA |
| Exportación masiva de imágenes diagnósticas | 100 imágenes | 1 hora | Descarga de gran cantidad de imágenes médicas |
Indicadores de archivos:
| Archivo sospechoso | Descripción |
|---|---|
| medical_device_exploit.py | Script de explotación de dispositivos médicos |
| dicom_parser_malicious.exe | Parser DICOM malicioso |
| hl7_interceptor.dll | Interceptor de mensajes HL7 |
| ai_model_backdoor.pkl | Backdoor en modelo de IA serializado |
Indicadores de red:
| Indicador | Puerto/Dominio/Protocolo | Descripción |
|---|---|---|
| Backdoor de dispositivo médico | Puerto 11111 | Puerto asociado con backdoors médicos |
| Dominio malicioso | *.medical-exploit.com | Dominio conocido de ataques médicos |
| Protocolo DICOM anómalo | DICOM a destino inesperado | Comunicación DICOM fuera de red médica |
Monitorización continua
SIEM médico integrado
Configuración del SIEM médico:
| Aspecto | Detalle |
|---|---|
| Plataforma principal | Splunk Enterprise Security |
Fuentes de datos:
| Fuente de datos | Descripción |
|---|---|
| AWS CloudTrail (todas las regiones) | Logs de API calls de AWS |
| VPC Flow Logs | Logs de tráfico de red VPC |
| Logs de aplicación (servicio de diagnóstico) | Logs específicos de la aplicación médica |
| Logs de auditoría de base de datos (PostgreSQL) | Registros de acceso a base de datos clínica |
| Logs de autenticación (Azure AD) | Registros de autenticación de usuarios |
| Logs de dispositivo médico (formato custom) | Logs específicos del dispositivo médico |
Dashboards personalizados:
| Dashboard | Propósito |
|---|---|
| Medical Device Security Overview | Vista general de seguridad del dispositivo |
| Clinical Data Access Monitoring | Monitorización de accesos a datos clínicos |
| AI Algorithm Integrity Status | Estado de integridad de algoritmos IA |
| Regulatory Compliance Status | Estado de cumplimiento regulatorio |
| Incident Response Timeline | Línea temporal de respuesta a incidentes |
Respuestas automatizadas:
| Acción | Modo de activación |
|---|---|
| Bloquear IPs sospechosas | Automático (alta confianza) |
| Deshabilitar cuentas comprometidas | Semi-automático (requiere aprobación) |
| Aislar servicios afectados | Manual (sistemas críticos) |
| Notificar organismos regulatorios | Automático (incidentes mayores) |
Machine Learning para detección de anomalías
PRO-MON-ML-001: Análisis de comportamiento de usuarios clínicos
Objetivo: Utilizar machine learning para detectar comportamientos anómalos de usuarios clínicos que puedan indicar compromiso de cuenta o uso indebido.
Modelos de ML utilizados:
| Modelo | Propósito |
|---|---|
| user_behavior | Análisis de comportamiento de usuarios |
| network_traffic | Detección de anomalías en tráfico de red |
| clinical_workflow | Análisis de desviaciones en flujo de trabajo clínico |
Características analizadas para usuarios clínicos:
| Característica | Descripción |
|---|---|
| Tasa de diagnósticos | Diagnósticos por hora del usuario |
| Patrón de acceso | Vector de patrón de acceso histórico |
| Distribución temporal | Distribución de actividad a lo largo del día |
| Volumen de datos de pacientes | Número de registros de pacientes accedidos |
| Ubicación geográfica | Origen geográfico de la sesión |
Proceso de análisis:
- Extraer características de la sesión del usuario
- Calcular puntuación de anomalía usando modelo de ML
- Evaluar confianza:
- Si puntuación > 0.85 (umbral de alta confianza):
- Marcar como anomalía detectada
- Identificar factores de riesgo específicos
- Recomendar acción: revisión inmediata
- Si puntuación ≤ 0.85:
- No anomalía detectada
- Si puntuación > 0.85 (umbral de alta confianza):
Resultado del análisis:
- Anomalía detectada (Sí/No)
- Nivel de confianza (0.0-1.0)
- Factores de riesgo identificados
- Acción recomendada
Procedimientos de respuesta automática
Respuesta escalonada automática
Niveles de respuesta automatizada según confianza:
Nivel 1 - Respuesta Automática (Confianza > 95%)
| Aspecto | Detalle |
|---|---|
| Acciones | • Bloquear IP de origen inmediatamente • Aislar sesión de usuario afectada • Generar ticket de incidente • Notificar equipo SOC (SMS + email) |
| Disparadores | • Firmas de malware conocidas • Direcciones IP en lista negra • Violaciones claras de políticas |
Nivel 2 - Respuesta Semi-automática (Confianza 80-95%)
| Aspecto | Detalle |
|---|---|
| Acciones | • Marcar para revisión manual (< 5 min) • Aumentar monitorización en sistemas afectados • Rate limiting temporal • Alertar analista de seguridad |
| Disparadores | • Anomalías de comportamiento • Patrones sospechosos pero no definitivos • Desviaciones de workflow médico |
Nivel 3 - Respuesta Manual (Confianza < 80%)
| Aspecto | Detalle |
|---|---|
| Acciones | • Registrar para investigación • Añadir a lista de vigilancia • Programar revisión manual |
| Disparadores | • Anomalías de baja confianza • Potenciales falsos positivos |
Script de respuesta a intrusión crítica
PRO-MON-RESPONSE-001: Respuesta automatizada a intrusión crítica
Objetivo: Ejecutar automáticamente acciones de respuesta ante intrusiones críticas detectadas, priorizando la contención del incidente y la preservación de evidencias.
Parámetros requeridos:
- ID del incidente
- Tipo de amenaza
- Sistemas afectados
Proceso de respuesta:
1. Registro del incidente
- Registrar timestamp de detección de intrusión crítica
- Documentar tipo de amenaza y sistemas afectados
2. Acciones de aislamiento (si tipo = brecha de datos médicos):
| Acción | Descripción |
|---|---|
| Aislar conexiones de base de datos clínica | Desactivar acceso público a base de datos PostgreSQL clínica |
| Revocar tokens de API médica activos | Invalidar todos los tokens de API médica para detener accesos |
3. Preservación de evidencia forense:
| Evidencia | Ubicación de preservación |
|---|---|
| Logs de aplicación médica | /forensics/[INCIDENT_ID]/medical-app/ |
| Logs de nginx | /forensics/[INCIDENT_ID]/nginx/ |
| Logs de PostgreSQL | /forensics/[INCIDENT_ID]/postgresql/ |
4. Notificación regulatoria (si tipo = brecha de datos de pacientes):
| Acción | Descripción |
|---|---|
| Preparar notificación a AEMPS | Generar notificación automática incluyendo: tipo de incidente, ID de incidente, número de registros afectados |
5. Activación de comunicación de crisis:
- Iniciar protocolo de comunicación de crisis
- Parámetros: ID de incidente, nivel de amenaza crítico, impacto médico confirmado
6. Finalización:
- Registrar timestamp de completitud de acciones de emergencia
- Documentar todas las acciones ejecutadas
Nota: Este procedimiento se ejecuta automáticamente por el sistema de respuesta ante detección de intrusiones críticas
Integración con gestión de incidentes
Workflow de escalado médico
Flujo de escalado de intrusiones con impacto médico:
1. Intrusión detectada
↓
2. ¿Impacto médico?
Ruta A - SÍ hay impacto médico:
↓ Revisión médica inmediata
↓ ¿Datos de pacientes afectados?
-
SÍ: Activar respuesta de crisis médica
- Notificar CMO + Autoridades regulatorias
- Activar equipo legal
- Preparar comunicación a pacientes
-
NO: Aislamiento de sistemas médicos
- Aislar servicios afectados
- Cambiar a sistemas de backup
Ruta B - NO hay impacto médico:
↓ Revisión de seguridad estándar
- Bloquear/Contener amenaza
- Recolectar evidencia
- Monitorizar para posible escalado
Puntos de decisión clave:
| Decisión | Criterio | Acción según resultado |
|---|---|---|
| ¿Impacto médico? | ¿Afecta funcionalidad diagnóstica o datos clínicos? | Sí → Revisión médica inmediata No → Revisión estándar |
| ¿Datos de pacientes afectados? | ¿Se comprometieron o expusieron datos de pacientes? | Sí → Crisis médica No → Aislamiento de sistemas |
Threat intelligence específico médico
Fuentes de intelligence
Fuentes de inteligencia de amenazas médicas:
Fuentes comerciales:
| Fuente | Descripción |
|---|---|
| CrowdStrike Falcon Intelligence | Inteligencia de amenazas comercial |
| FireEye Mandiant Threat Intelligence | Análisis de amenazas avanzadas |
| Microsoft Defender Threat Intelligence | Inteligencia de amenazas de Microsoft |
Fuentes específicas médicas:
| Fuente | Descripción |
|---|---|
| FDA Medical Device Security Communications | Comunicaciones de seguridad de dispositivos FDA |
| ICS-CERT Medical Device Advisories | Avisos de seguridad industrial para dispositivos |
| ECRI Healthcare Security Intelligence | Inteligencia de seguridad sanitaria ECRI |
| HIMSS Healthcare Threat Briefings | Briefings de amenazas del sector salud |
Fuentes gubernamentales:
| Fuente | Descripción |
|---|---|
| US-CERT Healthcare Alerts | Alertas de ciberseguridad para sector salud (US) |
| INCIBE Healthcare Sector Warnings | Avisos de INCIBE para sector sanitario |
| ENISA Medical Device Security Reports | Informes de seguridad de dispositivos médicos (EU) |
Fuentes comunitarias:
| Fuente | Descripción |
|---|---|
| Medical Device Security Community (MDSC) | Comunidad de seguridad de dispositivos médicos |
| Healthcare Cybersecurity Community (HCC) | Comunidad de ciberseguridad sanitaria |
| ISACA Health Information Security | Seguridad de información en salud ISACA |
Métricas y KPIs de detección
Métricas técnicas
KPIs de detección de intrusión:
Métricas de rendimiento:
| KPI | Objetivo |
|---|---|
| Mean Time to Detection (MTTD) | < 5 minutos |
| Tasa de falsos positivos | < 5% |
| Cobertura de detección | > 95% |
| Volumen de alertas (accionables) | < 50/día |
KPIs específicos médicos:
| KPI | Objetivo |
|---|---|
| Detección de brecha de datos médicos | < 1 minuto |
| Detección de manipulación de algoritmos IA | Tiempo real |
| Detección de anomalías de workflow clínico | < 2 minutos |
| Tiempo de notificación regulatoria | < 24 horas |
Dashboard de detección médica
PRO-MON-DASH-001: Generación de overview de seguridad médica
Objetivo: Generar una vista consolidada del estado de seguridad del dispositivo médico para monitorización ejecutiva.
Información incluida en el overview:
| Elemento | Descripción |
|---|---|
| Alertas críticas últimas 24h | Conteo de alertas críticas en el último día |
| Salud de sistemas médicos | Estado operacional de sistemas críticos médicos |
| Anomalías de acceso a datos de pacientes | Análisis de patrones anómalos de acceso a información clínica |
| Integridad de algoritmos IA | Verificación de integridad de modelos de machine learning |
| Estado de cumplimiento regulatorio | Estado actual de cumplimiento con MDR, GDPR, etc. |
| Panorama de amenazas | Resumen de amenazas actuales relevantes |
Uso: Este overview se genera automáticamente y se presenta en el dashboard ejecutivo de seguridad médica para visibilidad en tiempo real del estado de seguridad
Integración con otros controles ENS
- OP.EXP.7: Escalado automático a gestión de incidentes
- OP.CONT.2: Activación del plan de continuidad en caso de intrusión mayor
- MP.SI.2: Protección de datos detectando intentos de acceso no autorizado
- R-TF-013-002: Mitigación de riesgos de ciberseguridad identificados
Referencias cruzadas
- T-024-005: Procedimiento de detección y respuesta a incidentes
- GP-013: Marco de gestión de ciberseguridad
- OP.MON.2: Integración con sistema de métricas
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001