publicidad
Heartbleed, una vulnerabilidad virtual que afecta a sistemas con información confidencial en internet, podría exponer sus datos de salud a estafadores.

¿Qué tan seguro está tu historial médico?

¿Qué tan seguro está tu historial médico?

Heartbleed, una vulnerabilidad virtual que afecta a sistemas con información confidencial en internet, podría exponer sus datos de salud a estafadores.

Heartbleed, una vulnerabilidad virtual que afecta a sistemas con informa...
Heartbleed, una vulnerabilidad virtual que afecta a sistemas con información confidencial en internet, podría exponer sus datos de salud a estafadores.

Por Andrés Lizcano R.

Cada vez que vamos al médico o tenemos alguna interacción con el sistema de salud generamos datos que quedan registrados en nuestro historial médico: peso, estatura, teléfono, dirección, estatus de VIH, número de tarjeta de crédito, etc. Ahora, con el reciente descubrimiento de Heartbleed, una vulnerabilidad que afecta a casi todos los sistemas que manejan información confidencial en internet, todos estos datos podrían haber quedado expuestos a terceras partes.

Como bien se sabe, los datos personales son robados o abusados frecuentemente. Ya sea por entidades del estado, por corporaciones, o por individuos. El tema es especialmente delicado en el caso de la salud, pues datos confidenciales como el estatus del VIH pueden ser utilizados con fines de extorsión y sobre todo, el conjunto de los datos se puede vender en el mercado negro o usar para robar la identidad de una persona para cometer fraudes financieros o para comprar drogas de prescripción.

publicidad

Sam Imandoust, analista legal en el Identity Theft Resource Center (ITRC), comenta que el valor de un historial médico varía entre $50 y $500 Dólares. Esta organización, dedicada a reducir y mitigar el efecto causado por el robo y abuso de datos, reporta que más de la mitad de los casos de robo de datos este año han ocurrido en el sector de salud.

El robo de datos no es un problema nuevo ni exclusivamente del ámbito digital. Desde el 2009 se ha filtrado información privada de más de 30 millones de personas. Entidades Médicas han reportado 993 casos mayores (i.e. que afectan a más de 500 individuos) al Departamento de Salud y de Servicio Humanos de los EEUU y solamente 81 entre ellos han estado relacionados con hackers y fallos de tecnología. El resto se debe a olvidos, robos, acceso no autorizado, o eliminación inapropiada de los historiales.

Sin embargo, como lo explica Fred Trotter en su reciente artículo para MIT Technology Review, Heartbleed y otras vulnerabilidades reportadas recientemente podrían llevar a que en los próximos meses se produjera la filtración más grande de información confidencial de salud jamás reportada. Heartbleed es diferente, explica Trotter, porque afecta a muchos sistemas, mientras otras vulnerabilidades descubiertas en el pasado eran específicas a un solo sistema o proveedor de IT.

Trotter es periodista de datos en el DocGraph Journal y tiene experiencia en el sector de seguridad de IT. Por eso sabe que el sector de salud no está lo suficientemente preparado en contra de ataques informáticos. Los hospitales, quienes son responsables por los datos personales, generalmente operan basados en hasta 7 proveedores de IT encargados de la administración de información. Con que solo uno de estos proveedores tenga una falla de seguridad, existe un gran problema - explica Trotter - Y estos proveedores no utilizan las mejores prácticas en su manera de manejar vulnerabilidades.

publicidad

Como evidencia de esto, presenta el caso de Joshua Mandel, quien pasó por el proceso de reportar una vulnerabilidad a los proveedores de sistemas IT de salud y describe como ‘inquietante’ la manera de reaccionar de estos.

Trotter hace referencia a mejores prácticas concretas como por ejemplo un proceso establecido de ‘verificación - información al público - corrección de la vulnerabilidad’, como existe en la industria de seguridad IT. También comenta que en esta industria generalmente existe un Director de Seguridad (CSO), que reporta directamente al Director Ejecutivo de las compañías, así como profesionales de seguridad certificados por el Consorcio internacional de Certificación de Seguridad de Sistemas de Información, lo cual no sería el caso (general) en la industria de la salud.

Lo más preocupante de la vulnerabilidad Heartbleed es que una persona puede haber obtenido contraseñas y/o información confidencial sin dejar traza alguna. La vulnerabilidad fue corregida el mes pasado, siete días después de su descubrimiento por un equipo de Google. Las organizaciones que hayan adoptado las correcciones ahora están seguras. Sin embargo, alguien podría haber quedado con nombres de usuario y contraseñas de millones de personas.

Por eso se recomienda que se cambien las contraseñas de todas las cuentas en medios electrónicos (incluyendo bancos, medios sociales, cuentas en páginas gubernamentales, etc.) Más allá de esto es poco lo que se puede hacer. El Gobierno tiene requerimientos de seguridad pero es difícil verificar qué compañías los están siguiendo. Hay una minoría de proveedores que han manejado el tema muy bien como por ejemplo OSEHRA. El gobierno también reaccionó rápidamente y solicitó a todos lo susuarios de cuidadodesalud.gov cambiar su contraseña. Sin embargo, en general el usuario no tiene la posibilidad de utilizar preferencialmente los proveedores responsables, ya que son los hospitales los encargados de escoger sus proveedores y en general no publican una lista de estos.

publicidad

Trotter cree que Heartbleed va a cambiar la administración de datos y seguridad en el sistema de salud. Mientras tanto lo mejor que se puede hacer es cambiar sus contraseñas regularmente y esperar que él se equivoque sobre la enorme filtración de datos que estaría a punto de ocurrir.

publicidad
Contenido Patrocinado
En alianza con:
publicidad
publicidad