La transformación digital está ayudando a los proveedores de Salud a ser más rentables, y a mejorar los niveles de atención a pacientes. Pero la digitalización de los historiales médicos también conlleva importantes riesgos cibernéticos. Una vez que tus datos se almacenan en sistemas informáticos accesibles a través de Internet, pueden filtrarse accidentalmente o por terceros malintencionados, o incluso personas con información privilegiada, pueden acceder a ellos.

Los datos médicos figuran entre la información más sensible que compartimos con las organizaciones y, por ejemplo, el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés) les otorga el estatus de "categoría especial", lo que significa que se requieren protecciones adicionales.

Pero ninguna organización es 100% a prueba de filtraciones. Eso significa que es más importante saber qué hacer en caso de que tus datos se vean comprometidos, para minimizar las consecuencias.

El peor escenario

En los primeros 10 meses de 2023 en EE.UU., más de 88 millones de personas vieron expuestos sus datos médicos, según cifras del gobierno estadounidense. La cifra podría ser aún mayor si se tienen en cuenta las organizaciones no reguladas por la ley de privacidad del paciente HIPAA.

Entre los incidentes más destacados de los últimos años figuran:

  • Change Healthcare, que sufrió una importante brecha de ransomware en febrero de 2024. El proveedor de servicios sanitarios estadounidense no sólo experimentó una importante interrupción operativa, sino que sus atacantes (Black Cat/ALPHV) también afirmaron haber robado 6 TB de datos durante el ataque. Aunque el grupo de ransomware se cerró poco después de que Change Healthcare pagara un supuesto rescate de 22 millones de dólares, la filial del ransomware responsable del ataque intentó extorsionar de nuevo a la empresa, amenazando con vender los datos al mejor postor.
  • La empresa de salud mental Cerebral filtró accidentalmente en Internet información médica muy delicada sobre 3,1 millones de personas. La empresa admitió el año pasado que llevaba tres años compartiendo inadvertidamente datos de clientes y usuarios con "plataformas de terceros" y "subcontratistas" a través de una tecnología de marketing mal configurada.

¿Qué está en juego?

Entre los datos médicos que pueden estar en peligro se encuentran:

  • Números de póliza de seguro médico, o similares
  • Información personal identificable (IPI), como el número de la Seguridad Social, la dirección postal y de correo electrónico y la fecha de nacimiento
  • Contraseñas de cuentas médicas, financieras y de seguros
  • Historial médico, incluidos tratamientos y recetas
  • Información sobre facturación y pagos, como datos sobre tarjetas de crédito y débito y cuentas bancarias

Esta información podría ser utilizada malintencionadamente para cargar facturas en tu tarjeta de crédito, abrir nuevas líneas de crédito, acceder a cuentas bancarias y vaciarlas, o hacerse pasar por ti para obtener servicios médicos y medicamentos caros. En Estados Unidos, los historiales médicos podrían utilizarse incluso para presentar declaraciones de la renta fraudulentas con el fin de obtener reembolsos. Y si hay información sensible sobre tratamientos o diagnósticos que preferirías mantener en secreto, podrían incluso intentar chantajearte.

8 pasos a seguir tras una violación de datos

Si te encuentras en el peor escenario y se confirma una brecha de datos en una institución o servicio al que asistes como paciente, o incluso personal de salud, es importante mantener la cabeza fría y seguir estos pasos:

1. Comprueba la notificación

Lee detenidamente el mensaje que te llegue informando sobre un incidente que afecte tus datos. Sea un correo electrónico, una mensaje de Whatsapp, o cualquier otro medio, siempre chequea si adviertes los indicios más comunes de que puede ser una comunicación fraudulente como las faltas de ortografía y gramaticales o el pedido urgente de información personal, por ejemplo, pidiéndole que "confirmes" tus datos. Observa bien el remitente para chequear con los canales de comunicación legítimos de la intitución, y verifica links o archivos que se adjunten.

2. Averigüa los detalles sobre el incidente

El siguiente paso fundamental es conocer tu exposición al riesgo. ¿Qué información se ha visto comprometida exactamente? ¿Se trata de una exposición accidental de datos, o han sido terceros malintencionados los que han accedido a ellos y los han robado? ¿A qué tipo de información se ha podido acceder? ¿Estaba cifrada? Si la institución o proveedor de servicio no ha respondido adecuadamente a estas preguntas, comnunicate para obtener la información que necesita para dar los siguientes pasos. Si aún no está claro, considera el peor escenario para tomar medidas más fuertes.

3. Supervisa tus cuentas

Si actores maliciosos han accedido a tu información personal y médica, pueden venderla a estafadores o intentar utilizarla ellos mismos. En cualquier caso, vale la pena vigilar cualquier actividad sospechosa, como facturas médicas por servicios que no usaste o notificaciones que indiquen que llegaste a un límite de prestaciones. También chequear las transacciones bancarias y con tarjeta. Algunas organizaciones ofrecen supervisión gratuita del crédito, que notifica al usuario cuando se producen cambios en sus informes crediticios, puedes usar estos servicios para advertir posibles movimientos sospechosos.

4. Informa las actividades sospechosas

Si detectas cualquier actividad sospechosa o error de facturación infórmalo al proveedor. Lo mejor es hacerlo por escrito, además de notificarlo por correo electrónico/teléfono, u otros medios habilitados.

5. Congela tus informes crediticios y suspende tus tarjetas

Dependiendo de la información personal que haya sido comprometida, es una buena opción congelar tus información crediticia, si cuentas con esta opción. De este modo no podrán aprobarse créditos en tu nombre, al no poder comprobar tus informes y evitarás que los cibercrimales utilicen tu infromación para sacar créditos fraudulentos. Lo mismo haz con tus tarjetas de crédito, inactivalas o solicita nuevas emisiones, generalmente desde la aplicación de la entidad financiera puedas hacerlo facilmente.

6. Cambia sus contraseñas

Si tus datos de acceso se han visto comprometidos en una brecha, el proveedor correspondiente debería restablecerlos automáticamente. Pero si no es así, puedes hacerlo manualmente para mayor tranquilidad. Esto evitará intentos de apropiación de la cuenta, especialmente si mejora su seguridad mediante la autenticación de dos factores.

7. Mantente alerta

Cuando los estafadores se apoderan de tu información personal y médica, pueden intentar utilizarla en posteriores ataques de phishing por correo electrónico, mensajes de texto o incluso llamadas telefónicas. El objetivo es utilizar la información robada para añadir legitimidad a las solicitudes de más información personal, como datos financieros. Si alguien intenta extorsionarle con la amenaza de revelar datos médicos confidenciales, solo queda ponerte en contacto con la policía inmediatamente.

8. Considera la posibilidad de emprender acciones legales

Si tus datos fueron comprometidos por negligencia de su proveedor de asistencia sanitaria y dependiendoe de la jurisdicción y de las leyes locales de protección de datos/privacidad, podría corresponderte recibir algún tipo de indemnización. Lo mejor es asesorarse con un experto legal sobre una posible demanda.

Sin final a la vista

Dado que los historiales médicos pueden alcanzar un precio 20 veces superior al de los datos de las tarjetas de crédito en el mercado clandestino de la ciberdelincuencia, es poco probable que los ciberdelincuentes dejen de atacar a las organizaciones sanitarias en un futuro próximo. Su capacidad para forzar pagos multimillonarios a través del ransomware convierte al sector en un objetivo aún más atractivo. Por eso es necesario estar preparado para lo peor y saber exactamente qué hacer para minimizar los daños a la salud mental, la privacidad y las finanzas.