Además de los ciberataques que cada vez más se dirigen a las organizaciones sanitarias existen otras amenazas como filtraciones o fugas de información debido al importante valor de nuestros datos de salud.
Las amenazas que rodean nuestros datos de salud (I): ciberataques
Dos recientes artículos del nuevo blog de actualidad de CuraeSalud he dedicado a incidentes de seguridad y privacidad de datos sanitarios.
“Se venden (y compran) datos de salud” sobre la sanción a GoodRx por parte de la Comisión Federal de Comercio USA (FTC) por vender información de salud personal a Google, Facebook y otras compañías tecnológicas. Días más tarde han ido apareciendo más noticias semejantes con otras empresas, como la plataforma de salud mental BetterHelp. O la startup (también de salud mental) Cerebral que “sin darse cuenta” compartió la información confidencial de más de 3,1 millones de pacientes con Google, Meta, TikTok y otros anunciantes externos.
Y por supuesto, el segundo artículo fue “Ciberseguridad y privacidad en salud” sobre el incidente del Hospital Clínic.
No creo que haya sido una sorpresa esta desagradable situación, en el artículo dedicado a las tendencias de este año, en concreto sobre las preocupaciones, ya cité el aumento de ciberataques a servicios sanitarios y los riesgos de privacidad y seguridad de datos clínicos.
No podía sorprender porque ya el Consorci Sanitari Integral hace 5 meses había sufrido un ciberataque con filtración de datos. Y hace 2 años ya escribí “Ransomware: Los servicios sanitarios en riesgo creciente” en vista de las situaciones sufridas por hospitales y aseguradoras sanitarias en España.
Además, es conocido que el sector salud recibe una enorme cantidad de ataques diarios; sólo en enero de 2021 se recibían casi un centenar de ataques diariamente.
Las amenazas que rodean nuestros datos de salud (II): ciberataques
Y es que, del inicial problema informático y operativo (en el incidente de Barcelona se han dejado de realizar 4.000 analíticas, 11.000 consultas externas y más de 300 intervenciones) podemos pasar a un problema legal. Según los expertos De Lorenzo Abogados, el Hospital Clínic
“tendrá que demostrar que ha actuado “con la debida diligencia” en el tratamiento de los datos secuestrados a causa del ciberataque del pasado domingo para evitar asumir responsabilidad penal en el caso de que se presentara alguna denuncia por parte de pacientes al haber visto vulnerados sus datos personales”.
Cuando ocurre una brecha de seguridad, hay un plazo de 72 para comunicar a las autoridades según los protocolos que exige el Reglamento General de Protección de Datos (RGPD). El Cliníc comunicó a la Agencia Catalana de Ciberseguridad el incidente 3 horas después de tener constancia del problema.
Según datos del Observatorio de Ciberseguridad de Exprivia, a mediados de 2022 se registraron un aumento del 77 % de los ciberataques en España, la mayoría dirigidos a administraciones públicas, así como al sector sanitario.
Pese a que España es el segundo país del mundo donde se han detectado, en febrero de este año, más métodos nuevos para robar información, el 65% de las modalidades de ataque siguen siendo el secuestro de equipos. Vulnerabilidades sin parchear, mala gestión de permisos y contraseñas, y el “phishing” que sigue causando estragos camuflado en un correo electrónico donde se recibe una factura o la entrega de un paquete, enlace en el que clica el usuario y el código malicioso se pone en marcha inevitablemente.
Las amenazas que rodean nuestros datos de salud (III): el valor
4,5 millones de euros han pedido los delincuentes una vez que han enviado una imagen del árbol principal de un servidor donde se ven las carpetas capturadas. Y aquí hay algo trascendente y es que este servidor es el que utilizan 1.000 pacientes para almacenar información propia. Lo suficientemente privada como para que con estos datos se puedan lanzar campañas de engaño y chantaje a sus dueños. Además de comerciar con los datos (son 4 terabytes de información) y difundirlos en la dark web.
Los motivos por los que el crecimiento de ataques a infraestructuras sanitarias han crecido son conocidos. Las TIC se han desplegado mucho en los últimos años, su labor es muy sensible a un incidente, y la disponibilidad del servicio debe ser completa. Además, los datos sanitarios valen dinero en el mercado negro.
Y aquí es donde aparece el problema de las filtraciones de datos. Y en esto el sector de la salud está a la cabeza. Los datos de los pacientes son muy valiosos. Expertos afirman que registros de salud de los pacientes pueden llegar a pagarse entre 250$ y 1.000$. En comparación, el número de una tarjeta de crédito vale 5$. El motivo es que la historia clínica de un paciente contiene toda la información personal y de salud de un individuo. No es un dato único y desligado.
La importancia de estos datos conjuntos son el motivo de las otras fugas de información que citaba al principio; empresas de servicios online que comparten datos con grandes plataformas y que son utilizados para la creación de perfiles, publicidad segmentada o comunicaciones individualizadas.
Las amenazas que rodean nuestros datos de salud (IV): brechas de datos
Con estos riesgos a la FTC no le ha temblado el pulso y pide a las plataformas o webs de telemedicina que sean transparentes acerca de sus prácticas para obtener el consentimiento expreso de los usuarios antes de recopilar, usar o compartir información de salud.
Que en el caso de que recopilen datos confidenciales deben mantener e implementar políticas adecuadas para proteger esa información. Y les aconsejan que mantengan límites en los acuerdos con terceros para acotar cómo se pueden utilizar esos datos.
Además, se les pide que sean proactivos en labores de supervisión de los flujos de datos de sus usuarios ya que las herramientas publicitarias se pueden haber integrado con facilidad en las webs.
Pero es que, además en el mercado USA se ha detectado que la figura de los “data brokers” tiene en su poder enormes cantidades de datos sobre las enfermedades mentales de ciudadanos estadounidenses. Al parecer la naturaleza de estos “corredores de datos” en gran parte no está regulada o bien trabajan en una “caja negra” que afecta a la protección de la privacidad del consumidor. El informe de Stanford School of Public Policy de Duke es escalofriante.
Y me gustaría finalizar con un aviso a los usuarios de apps y dispositivos de actividad porque no siempre somos conscientes de hasta que punto nuestra información es utilizada o puede ser interceptada. Por ejemplo un estudio publicado en BMJ afirmaba que el 88% de las aplicaciones de salud incluyen código que potencialmente podría recopilar datos del usuario.
No cabe duda de que estamos ante uno de los temas más importantes de los próximos años.
Autor: José Miguel Cacho. LinkedIN
Si te ha gustado y quieres leer más artículos y conocer mis novedades en CuraeSalud, recibe quincenalmente mi newsletter.
Si quieres adentrarte en el mundo de la salud digital, y estar formado e informado quizá te interese mi nuevo servicio KnowledegeHealth