Recientemente, la estadounidense Community Health Systems (CHS) confirmó que su red había sido víctima de un ciberataque que ocurrió entre abril y junio de este año. La compañía cree que el ataque se realizó a través de una APT (Advanced Persistent Threat) que se originó en China, y logró extraer información de 4.5 millones de pacientes.
Si bien dicha información no incluía datos clínicos ni de tarjetas de crédito, si incluía nombres, direcciones, fechas de nacimiento, números de teléfono y de Seguridad Social.
Las brechas de seguridad en instituciones médicas ya no son una novedad, y menos aún con el caso de Montana todavía resonando -luego de que en junio se filtrara información personal de 1.3 millones de pacientes del Public Health and Human Services Department.
¿Cómo llegaron a ser blancos de ciberataques las instituciones médicas?
En el ámbito de la seguridad se viene hablando desde hace tiempo acerca de las vulnerabilidades en los sistemas médicos, y -lamentablemente- se cree que brechas como las anteriormente mencionadas seguirán ocurriendo. Ahora bien, ¿por qué se han convertido las instituciones de salud en blancos de ataque?
La respuesta es simple: sucede que, en pos de un mejor servicio a un menor costo, han incorporado sistemas de lo más tecnológicos para administrar los grandes volúmenes de datos de pacientes que poseen. En ese sentido, los registros físicos, ficheros y archivos en papel han comenzado a convertirse en archivos digitales que contienen grandes cantidades de datos personales de los pacientes.
Sumado a eso, se han adoptado también tecnologías relacionadas al Internet de las Cosas o Internet of Things (IoT), con dispositivos conectados a Internet -y por lo tanto, potenciales puertas de entrada para los cibercriminales si no se toman las medidas de seguridad adecuadas. Basta recordar cómo el año pasado se reportó una vulnerabilidad en más de 300 dispositivos quirúrgicos, desfibriladores y bombas de insulina (entre otros), que permitía el acceso a configuraciones críticas y el control remoto por parte de personas no autorizadas.
Y, por supuesto, las políticas de seguridad incorrectamente delineadas no ayudan: si bien el 81% de las organizaciones orientadas al cuidado de la salud adoptaron la práctica de BYOD (Bring Your Own Device), sólo el 21% monitorea los dispositivos personales que se conectan a la red corporativa. Además, el 74% de las organizaciones no cifra la información que circula por los equipos. Estos datos se extraen de una infografía realizada por ESET en 2013.
Entonces, los sistemas utilizados en instituciones médicas no son la excepción y como sucede en (prácticamente) todos los sistemas, los cibercriminales están continuamente al acecho para detectar vulnerabilidades que les permitan acceder -y robar información. Y una vez que obtienen los datos, pueden venderlos en el mercado negro para cometer fraude, o utilizarlos en campañas de phishing o spam. De esta forma, los pacientes quedan expuestos.
Entonces, ¿cómo proteger la información de los pacientes?
Tal como indica Lysa Myers, Security Researcher de ESET, los usuarios, en su rol de pacientes, tienen formas de proteger su información médica:
- Revisa el contenido de los reportes y estados de cuenta
Es importante leer y comprender los cargos que vienen en los estados de cuenta de las oficinas y los seguros médicos. Si no entiendes lo que ves, o si ves algo en la lista que no recuerdas haber realizado, llama al médico o proveedor de seguros y aclara la situación.
- Chequea apps de registro y protege la información
Si usas aplicaciones para mantener registros de tu historial médico, es una buena idea hacer un esfuerzo extra para ver cómo protege esa información. Las críticas o reviews de otros usuarios en la tienda oficial de donde haces la descarga es un buen lugar para empezar. También deberías revisar los permisos que la app tiene en tu dispositivo, para ver a qué información accede. Si la almacenas fuera de la app, puedes cifrarla para protección adicional.
- Aboga por una mayor seguridad y privacidad
Si te sientes confiado como para discutir controles de seguridad y privacidad, pregúntale a tu proveedor de servicios de salud qué medidas implementa para proteger tu información. Podrías sorprenderte con la respuesta, ya que si bien en muchos casos esas medidas son insuficientes, también hay instituciones que se toman la seguridad muy en serio.
Por supuesto que aquí también entran en juego las habituales buenas prácticas, como tener contraseñas fuertes y seguras, y no compartirlas ni reutilizarlas en distintos sistemas.
Una industria ampliamente atacada
Según un reporte realizado por el Identity Theft Resource Center de Estados Unidos, a agosto de 2014 se han reportado 214 brechas de seguridad en instituciones médicas, lo que representa el 42,4% del total de incidentes. Estas brechas alcanzaron 6.832.749 registros médicos de pacientes, y convierten a la industria médica en la más atacada -no sólo vulnerables a grandes ataques, sino también a otros más pequeños como por ejemplo infecciones de terminales de punto de venta (Point of Sale) en oficinas médicas.