ESET, compañía líder en detección proactiva de amenazas, advierte que los datos de instituciones de salud siguen siendo un objetivo codiciado por los actores maliciosos.
La transformación digital está ayudando a los proveedores de salud a mejorar los niveles de atención a pacientes, pero la digitalización de los historiales médicos también conlleva importantes riesgos cibernéticos. Una vez que los datos se almacenan en sistemas informáticos accesibles a través de Internet, pueden filtrarse accidentalmente o por terceros malintencionados, o incluso personas con información privilegiada pueden acceder a ellos.
Los datos médicos figuran entre la información más sensible que se comparte con las organizaciones y, por ejemplo, el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés) les otorga el estatus de “categoría especial”, lo que significa que se requieren protecciones adicionales. Pero dado que ninguna organización está exenta de posibles filtraciones, resulta más que importante saber qué hacer en caso de que los datos se vean comprometidos y así minimizar las consecuencias.
“Para poner en números el escenario, más de 88 millones de personas vieron expuestos sus datos médicos durante los primeros 10 meses del 2023 en EE.UU., según cifras del gobierno estadounidense. Incluso la cifra podría ser aún mayor si se tienen en cuenta las organizaciones no reguladas por la ley de privacidad del paciente HIPAA.”, señala Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
ESET menciona que entre los datos médicos que pueden estar en peligro se encuentran:
- Números de póliza de seguro médico o similares.
- Información personal identificable (IPI), como el número de la Seguridad Social, la dirección postal, correo electrónico, la fecha de nacimiento y datos filiales.
- Contraseñas de cuentas médicas, financieras y de seguros.
- Historial médico, incluidos tratamientos y recetas.
- Información sobre facturación y pagos, como datos sobre tarjetas de crédito y débito y cuentas bancarias.
Esta información podría ser utilizada malintencionadamente para cargar facturas en la tarjeta de crédito, abrir nuevas líneas de crédito, acceder a cuentas bancarias y vaciarlas, o hacerse pasar por la víctima para obtener servicios médicos y medicamentos caros. Incluso si hay información sensible sobre tratamientos o diagnósticos, podrían intentar llevar adelante algún tipo de chantaje.
Si un usuario se encuentra ante el peor escenario y se confirma una brecha de datos en una institución o servicio al que asiste como paciente, ESET aconseja siempre mantener la cabeza fría y seguir los siguientes pasos:
- Comprobar la notificación: Leer detenidamente el mensaje que llegue informando sobre un incidente que afecte los datos. Sea un correo electrónico, un mensaje de WhatsApp, o cualquier otro medio, siempre chequear los indicios más comunes de que puede ser una comunicación fraudulenta como las faltas de ortografía y gramaticales o el pedido urgente de información personal. Observar bien el remitente para chequear con los canales de comunicación legítimos de la institución, y verificar links o archivos que se adjunten.
2. Averiguar los detalles sobre el incidente: El siguiente paso fundamental es conocer la exposición al riesgo. ¿Qué información se ha visto comprometida exactamente? ¿Se trata de una exposición accidental de datos, o han sido terceros malintencionados los que han accedido a ellos y los han robado? ¿A qué tipo de información se ha podido acceder? ¿Estaba cifrada? Si la institución o proveedor de servicio no ha respondido adecuadamente a estas preguntas, se recomienda comunicarse para obtener la información necesaria para dar los siguientes pasos. Si aún no está claro, considerar el peor escenario para tomar medidas más fuertes.
3. Supervisar las cuentas: Si actores maliciosos han accedido a la información personal y médica, pueden venderla a estafadores o intentar utilizarla ellos mismos. En cualquier caso, vale la pena vigilar cualquier actividad sospechosa, como facturas médicas por servicios que no se usaron. También chequear las transacciones bancarias y con tarjeta.
4. Informar las actividades sospechosas: Si se detecta cualquier actividad sospechosa o error de facturación, informarlo al proveedor. Lo mejor es hacerlo por escrito, además de notificarlo por correo electrónico/teléfono, u otros medios habilitados.
5.Congelar los informes crediticios y suspender las tarjetas: Dependiendo de la información personal que haya sido comprometida, es una buena opción congelar la información crediticia, si se cuenta con esta opción. De este modo no podrán aprobarse créditos en su nombre, evitando que utilicen la información para sacar créditos fraudulentos. Lo mismo hacer con las tarjetas de crédito, inactivarlas o solicitar nuevas emisiones, generalmente desde la aplicación de la entidad financiera.
6. Cambiar las contraseñas: Si los datos de acceso se han visto comprometidos en una brecha, el proveedor correspondiente debería restablecerlos automáticamente. Pero si no es así, se puede hacer manualmente para mayor tranquilidad. Esto evitará intentos de apropiación de la cuenta, especialmente si mejora su seguridad mediante la autenticación de dos factores.
7. Mantenerse alerta: Cuando los estafadores se apoderan de la información personal y médica, pueden intentar utilizarla en posteriores ataques de phishing por correo electrónico, mensajes de texto o incluso llamadas telefónicas. El objetivo es utilizar la información robada para añadir legitimidad a las solicitudes de más información personal, como datos financieros.
8. Considerar la posibilidad de emprender acciones legales: Si los datos fueron comprometidos por negligencia del proveedor de asistencia sanitaria, dependiendo de la jurisdicción y de las leyes locales de protección de datos/privacidad, podría corresponder recibir algún tipo de indemnización. Lo mejor es asesorarse con un experto legal sobre una posible demanda.
“Dado que los historiales médicos pueden alcanzar un precio 20 veces superior al de los datos de las tarjetas de crédito en el mercado clandestino de la ciberdelincuencia, es poco probable que los ciberdelincuentes dejen de atacar a las organizaciones sanitarias en un futuro próximo. Su capacidad para forzar pagos multimillonarios a través del ransomware convierte al sector en un objetivo aún más atractivo. Por eso es necesario estar preparado para lo peor y saber exactamente qué hacer para minimizar los daños a la salud mental, la privacidad y las finanzas.”, concluye el investigador de ESET.