Las brechas en instituciones médicas ya no son una novedad, ni tampoco el hecho de que este sector es un blanco predilecto del cibercrimen por la sensibilidad de sus registros, que no solo permiten chantajear a una persona sino también suplantar su identidad. Este fin de semana, durante su paso por Andsec como oradoras, hablamos con Nina Alli y Melanie Segado sobre la necesidad de cambiar el paradigma que rige el tratamiento y la protección de información en la industria de la salud.
¿Qué pasa cuando, por más responsables que seamos como usuarios, debemos compartir nuestros datos con instituciones que no los protegen de manera adecuada? Los profesionales de la salud están muy preparados para curarnos y cuidar nuestra integridad física, pero ¿están igual de preparados para cuidar nuestra privacidad e integridad digital?
"Ponemos a la medicina en un pedestal y nadie se pone a pensar que hay que cambiarla"
Melanie Segado es canadiense y tiene familia en Argentina; está haciendo un doctorado en neurociencia en Montreal y, entre otras cosas, está explorando el uso de las ondas cerebrales como nueva forma de identificación biométrica. Se propone determinar si puede arrebatárseles el anonimato y hasta qué punto pueden asociarse a una persona para determinar quién es, qué está haciendo o pensando.
Las ondas cerebrales, nos explicó, no son completamente anónimas. Al ser únicas a cada individuo, una vez que se obtiene un patrón de su actividad, es fácil cotejarlo para determinar inequívocamente a quién pertenecen. Claro que, para esto, la información de nuestra actividad cerebral debería estar almacenada en una base de datos.
Y ¿quién podría tener mi actividad cerebral registrada? "Las compañías que hacen apps de meditación, con las que te conectas tres minutos al día para aprender respirar mejor o relajarte, están rastreando tus señales cerebrales; hay también muchos pacientes que se tienen que hacer electroencefalografía como parte de sus chequeos, especialmente en casos como la epilepsia, que a veces requiere de monitorear la actividad cerebral durante semanas", explicó Melanie. Y aquí está el vínculo con la seguridad informática: es realmente importante que la información de los pacientes sea confidencial, como explicó Nina Alli en su propia charla.
Si esos registros fueran robados, y fueran suficientes para determinar a quién corresponden, ya se tiene una forma inequívoca de dar con esa persona. Por eso se dice que no es totalmente anónima, aunque la buena noticia es que cambian con el tiempo y con algunos eventos que dejan secuelas, lo cual puede complicar la tarea.
Entonces, el quid de la cuestión estaría en qué tan adecuadamente se protegen esos registros de actividad cerebral (y los otros tantos registros médicos de los que disponen las instituciones de salud). La respuesta no es alentadora: falta mucho por hacer.
¿Cuándo se darán cuenta de las falencias de seguridad que tienen?
Sus 11 años de experiencia en el ámbito de la protección de información médica le permitieron a Nina Alli darnos una respuesta terminante: "Ya lo saben".
"Las personas deben entrar en la lógica de proteger los equipos como si fuesen su casa"
Según Nina, "todos están trabajando para mejorarlo, pero el problema es que es una industria de 24 horas al día, 7 días a la semana, 365 días al año, por lo que apagar un sistema solo para actualizarlo significa que no pueden atender pacientes por una o dos horas". En un sistema capitalista, eso es pérdida de dinero, un lujo que no se pueden dar.
"Ya saben de los problemas de seguridad, y hay personas que están trabajando en ellos, como yo, pero necesitamos juntar más personas en laboratorios de ideas para fortalecer los sistemas, y trabajar con quienes crean las aplicaciones para que lo hagan con seguridad por defecto", continuó. Pero, como anticipó en su charla, hay otros dos problemas más difíciles de abordar: los sistemas obsoletos que dependen de Windows XP y las malas prácticas de los usuarios.
"Las personas son un gran problema. Por ejemplo, los ataques de phishing: a todo el mundo le gustan los mails de asuntos curiosos y quieren un iPad gratis. Los hospitales deben empezar a asegurar mejor los correos, porque las personas son un gran problema", opinó Nina. No debemos olvidar en la categoría de "problema" a las contraseñas por defecto, presentes en computadoras, dispositivos personales, de monitoreo, de escaneo y más. No puede seguir habiendo tomógrafos con credenciales admin:admin; cuando se incorpora un equipo, se deben cambiar sus ajustes.
"Las personas deben empezar a entrar en la lógica de proteger los equipos como si fuesen su casa", sentenció Nina.
¿Qué podemos hacer como víctimas de la negligencia de los médicos?
La conclusión que Nina quiere hacer llegar a toda la comunidad es muy importante: "La industria médica no es solo responsable por la salud física de las personas, sino también por su bienestar cuando tienen su información. No deberían usar WhatsApp o iMessage o ninguna aplicación similar, porque por más de que sean seguros, lo que están compartiendo es información de pacientes. Y eso, al menos en los Estados Unidos, es ilegal".
"no tenemos mucha decisión en nuestro propio cuidado"
Las medidas prácticas a tomar incluyen servidores FTP más seguros, cambio y fortalecimiento de contraseñas, y actualización; en suma, que los responsables de nuestra salud física y digital sean más diligentes y conscientes.
"Como sociedad, siempre vimos a los doctores con respeto. 'Sabes tanto, gracias por ayudarme'. Pero no tenemos mucha decisión en nuestro propio cuidado. Ponemos a la medicina en un pedestal y nadie se pone a pensar que hay que cambiarlo", dijo Nina con firmeza. Y tiene razón.
Si un médico nos diagnosticara mal, nos diera el medicamiento o tratamiento equivocado, iríamos a reclamarle. ¿Qué pasa si el reclamo pasa a ser "descuidaste mi identidad, alguien me la robó por tu culpa"?
La investigación y desarrollo requiere mucho tiempo y dinero, pero personas como Nina y Melanie están haciendo lo que hace falta para generar un cambio, con estudios independientes que demuestran formas alternativas y mejoradas de llevar a cabo los procedimientos ya establecidos (y hasta hace poco, no cuestionados).
Para darnos esperanza, Nina concluyó con firmeza: "Estamos cambiando el paradigma sobre el que funciona la industria de la salud. Ahora que es un movimiento tan grande y somos tantos lo que estamos intentando cambiar las cosas, es más difícil decir no".