¿Cuánto vale su salud en internet?
Las brechas de seguridad en el área de la salud son extremadamente sensibles, sobre todo cuando los ciberdelincuentes están detrás de las historias clínicas de los pacientes.
Por: Redacción Gestion.pe
Alguna vez fue al médico? Si no fue, felicitaciones, debe de ser la persona más saludable del planeta (comparta su secreto). Pero seguro que la mayoría de quienes están leyendo esta nota debió hacer al menos una visita al doctor, ya fuera para someterse a un chequeo, un análisis o para tratar alguna dolencia.
Cada una de esas visitas se suma a su historial médico, lo que genera una hoja de vida con sus datos más privados: su nombre y apellido, su dirección, su fecha de nacimiento, detalles médicos y hasta la información de sus métodos de pago.
Con el avance de la tecnología, las historias médicas se pasan a formato digital y, por lo tanto, a las bases de datos de usuarios de los centros de salud. ¿Qué pasaría si toda esa información terminara filtrándose en internet?
Un estudio realizado por el Instituto Ponemon en Estados Unidos, respaldado por la firma de ciberseguridad ESET y divulgado en febrero de este año, reveló que las organizaciones sanitarias consultadas sufrieron al menos una falla cibernética por mes en los últimos 12 meses, casi la mitad de las cuales involucró la pérdida o exposición de la información de sus pacientes. Las causas de estas fallas fueron de distinta índole: sistemas, dispositivos médicos inseguros, ciberataques, brechas en dispositivos móviles de los empleados o robos de identidad. Todas, si no prevenibles, porían ser manejables.
Las consecuencias de este tipo de brechas de seguridad podrían no resultar tan evidentes a simple vista. Sin embargo, pueden tener implicancias tanto a nivel económico para las instituciones como consecuencias directas sobre el estado de salud del paciente, según explicó Lucas Paus, investigador de seguridad de ESET.
“La historia clínica de un político podría ser crucial para la estabilidad de un país”, explicó Lucas Paus.
Un hospital californiano, por ejemplo, sufrió en 2015 un ataque de ransomware, es decir, un código malicioso que encripta todos los elementos en un equipo, impidiendo a su propietario acceder a ellos, para luego exigir una suma económica para su “rescate”.
Imagine esta situación: usted se presenta en la emergencia de su centro de salud por determinado problema y se le debe suministrar algún medicamento. El médico quiere acceder a su historial para comrpobar si es alérgico a alguna droga, pero no puede porque los datos están retenidos por un ciberdelincuente. ¿Y si se tratara de un caso realmente urgente? ¿O si el ciberdelincuente cambiara deliberadamente alguno de sus datos?
Los atacantes muchas veces no dirigen sus códigos maliciosos a determinado hospital, pero esto es lo que los hace más peligrosos. “Muchas veces, la historia clínica de un político podría ser crucial para la estabilidad de un país. Hay personas que deberían cuidar mucho más la confidencialidad de su historia clínica, sobre todo si son cargos públicos o personas mediáticas”, sostuvo Paus de ESET.
Una vez que la información llega a internet, es difícil seguirle el rastro. Muchas veces se termina vendiendo en mercados negros, en otros casos es utilizada con fines comerciales e incluso puede usarse para una maniobra de robo de identidad. Las intenciones son tan variadas como la cantidad de usuarios que tiene la red. Y, a diferencia de la pérdida de una tarjeta de crédito, que puede darse de baja tan pronto como el usuario consiga un teléfono, sus datos médicos no son fáciles de “resetear”.
Se podría llegar a pensar que por el simple hecho de trabajar con información tan sensible, los centros de salud toman por defecto todos los recaudos para evitar estas brechas. Pero muchas veces el factor tecnológico no es el culpable, sino errores humanos, por ejemplo, programadores que se olvidan de “ordenarle” a su base de datos que la información que contiene no debe aparecer en los resultados de búsqueda de Google. A veces lo que falta es algo tan básico como una solución de seguridad (como un antivirus); en otros casos son los propios profesionales de la salud los que comparten información –incluso historias médicas– por WhatsApp u otras aplicaciones. La brecha puede provenir de contraseñas de acceso compartidas. Sí, todo esto sucede.
Además, muchas de las instituciones todavía dependen de equipos muy antiguos cuyo software dejó de recibir soporte, como es el caso de un hospital australiano en el cual todavía las máquinas funcionan con un Windows XP que había sido infectado con malware.
Aún así, un estudio también realizado por el instituto Ponemon, divulgado en mayo de 2015, reveló que la preocupación en cuanto a la ciberseguridad de las instituciones de salud se centra más que nada en la negligencia de sus empleados, mientras que la causa de la mayoría de las filtraciones se debió al ataque de un cibercriminal.
El problema se encuentra en que muchas veces un sistema es infectado y sus administradores no se dan cuenta hasta algunos años después, cuando ya se filtró un gran volumen de información. El trabajo de los cibercriminales requiere de sigilo y cuando su ataque pasa inadvertido es cuando obtienen la mayor parte de sus “ganancias”.
Dispositivos vulnerables
Un estudio realizado por la empresa de seguridad Bitglass confirmó que el año pasado uno de cada tres estadounidenses fue víctima de una brecha de seguridad en su centro de salud. Otro estudio de Ponemon determinó que el valor de cada historial médico robado puede llegar hasta US$ 363.
Los expertos en seguridad solo esperan que estos números sigan aumentando a medida que se incrementa la cantidad de dispositivos en el mundo y se amplía la cobertura de conectividad. Así lo dice Maximiliano Alonzo, especialista en ciberseguridad de la empresa uruguaya TIB. Esta afirmación vale tanto para una banda deportiva como para dispositivos médicos controlados por software.
Para el caso de las bandas deportivas y relojes inteligentes, Paus destacó que es una de las mayores preocupaciones en el corto plazo, debido a que ya existen ataques dirigidos a dispositivos con Android. Es frecuente que los usuarios realicen en sus aplicaciones de bienestar y ejercicio mediciones de su ritmo cardíaco, de la quema de calorías o de los pasos que dan en un día.
“La seguridad va a tener que estar en todas las cosas, no solamente en una computadora o un smartphone, sino en todas aquellas cosas que estén conectadas a internet”, señaló Paus. Estas aplicaciones funcionan vinculadas a una cuenta (ya sea de Gmail o iCloud). Si un ciberdelincuente accede a estas credenciales, todas sus mediciones estarán expuestas.
Con los dispositivos médicos, la historia es más alarmante. Estos funcionan con un software que los controla y que, como todo software, no es infalible. Las consecuencias de las brechas de seguridad en estos pueden ser nefastas. Alonzo ejemplificó con un caso en el que un hombre descubrió cómo controlar la frecuencia de una bomba de insulina: una pequeña modificación en su código podría llevar a una sobredosis. También es el caso de los marcapasos. O el de un robot en un centro médico visitado por el especialista en ciberseguridad Avi Rubin, de la universidad Johns Hopkins, que distribuía las dosis de medicamentos de los pacientes de forma automática.
Todo esto se potencia con el aumento del uso de tecnologías en la nube por parte de las empresas de salud. Según el informe de Bitglass, 37% de las organizaciones encuestadas para el estudio utiliza Google Apps u Office 365 para desempeñar sus tareas.
¿Qué se puede hacer?
ESET tiene una batería de recomendaciones para evitar brechas de seguridad. Si se trata de dispositivos móviles hay que prestar atención a los permisos que solicitan las aplicaciones al descargarlas, ya que estas muchas veces piden acceso a funciones que no son vitales para su funcionamiento. Una app de fitness, por ejemplo, no tiene por qué solicitar acceso a la agenda de contactos o a las llamadas.
Por otro lado, siempre se deben descargar aplicaciones de las tiendas oficiales de los sistemas operativos, ya que bajarlas desde sitios desconocidos podría traer consigo códigos maliciosos. ESET también desaconseja el desbloqueo de los dispositivos, lo que en Apple se llama jailbreak y en Android rooteo, que facilitan el robo de información. Es vital tener instalada una solución de seguridad, como un antivirus.
En cuanto a las empresas de salud, Paus recomendó que realicen auditorías de seguridad para detectar posibles vulnerabilidades en los sistemas. También es importante la capacitación y la concientización de los profesionales de la salud para que entiendan la importancia de la información que manejan y las consecuencias de compartirla a través de dispositivos móviles.
Por la sensibilidad de los datos que manejan, son especialmente las organizaciones relacionadas con la salud las que deben adaptarse a la nueva realidad. Los problemas ya dejaron de ser tecnológicos, dado que las soluciones de seguridad existen para casi todos los dispositivos.
Lo que no existe es una concientización sobre el uso correcto de dicha tecnología. Y esto no se limita solamente a los profesionales de la salud. Si usted no cuida su reloj inteligente, su cantidad de calorías quemadas en un día podría terminar siendo vendida a un servicio de dietas.
Diario El Observador de Uruguay
Red Iberoamericana de Prensa Económica (RIPE)