Ayer comenzó en San Francisco la primera edición de Enigma, una conferencia de seguridad organizada por USENIX que cuenta con el apoyo de Google, Facebook, LinkedIn, Electronic Frontier Foundation y Goldman Sachs, entre otros. Allí, el experto en seguridad Avi Rubin, cuya investigación actualmente está enfocada en la industria de salud, dijo que esta es la más deficiente en lo que respecta a la protección de la información que maneja.
"Como consultor que ha trabajado en muchas industrias, la de salud es la peor en términos de seguridad", declaró en el evento según The Register. "Lo que lo vuelve realmente preocupante es que todos interactuamos con la medicina, pero sus prácticas de seguridad estuvieron muy por debajo que las de cualquier otra industria que vimos", contó tras haber evaluado los sistemas de gestión de seis grandes hospitales de la costa este de los Estados Unidos.
A decir verdad, ya sabemos que la industria de la salud enfrenta diversos riesgos (que reunimos en una infografía) y que el personal médico a menudo es negligente en el manejo de datos de sus pacientes. De hecho, una práctica frecuente es enviar estudios, análisis e historias clínicas por SMS y WhatsApp, sin considerar que sus smartphones personales podrían poner en peligro a la red de la institución o a la identidad de las personas.
Los médicos ya no solo deben proteger la salud de los pacientes, sino también su información
Por otro lado, los equipos y maquinarias con sistemas obsoletos siguen siendo una constante, con casos como el del hospital australiano que se infectó con malware en sus computadoras con Windows XP hace pocos días (a pesar de que dicho sistema operativo de Microsoft dejó de tener soporte oficial de Microsoft en 2014).
En este contexto, la tarea de los médicos ya no solo es proteger y cuidar la salud de los pacientes, sino también su información, mientras esté en sus manos. Claro que sus prácticas deben ir acompañadas de una adecuada gestión de la seguridad a nivel general en la institución, que implemente las medidas adecuadas y necesarias que toda red debe tener, así como una solución de seguridad que sea funcional.
Durante su presentación en Enigma, Rubin señaló otros malos ejemplos, como el de una enfermera a la que se le ordenó presionar teclas o mover el mouse de las computadoras de los doctores cuando no estuvieran en sus lugares, de modo que no quedaran inactivas y no se cerraran sus sesiones. Así, el sistema era accesible a todos en cualquier momento. En otro hospital, 8.000 empleados de distintos niveles tenían acceso a todos los registros de la institución, dejando numerosas posibles puertas de entrada para atacantes ingeniosos que lograran engañarlos.
Una máquina con Windows 95 operaba el escáner de resonancia magnética
Por su parte, Kevin Fu, director del Centro Arquímedes para la Seguridad de Dispositivos Médicos de la Universidad de Michigan, dijo que la clave para resolver estas fallas va, en gran medida, de la mano del sentido común. Fu descrubrió una máquina con Windows 95 que operaba el escáner de resonancia magnética y trató de remediarlo, pero halló que el software no era utilizable en un sistema operativo posterior, por lo que se debía cambiar todo el mecanismo.
La industria de la salud ha adoptado tecnologías conectadas que operan con software, en las que una vulnerabilidad o falla de seguridad puede constituir una falla en el cuidado de un paciente y su identidad. Si no es evidente, recordemos el caso de los 300 dispositivos quirúrgicos, desfibriladores y bombas de insulina que eran vulnerables al control remoto por parte de atacantes no autorizados.
Y como este es un asunto que cada vez toma más relevancia por la magnitud de los potenciales riesgos, los investigadores y la comunidad de analistas de seguridad no son los únicos preocupados que trabajan por una mejora: La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) elaboró una guía que exige a los fabricantes de dispositivos médicos mejorar su seguridad y reportar incidentes importantes.
Sigue leyendo: Robo de registros y datos de salud: más que información médica