La proliferación de aplicaciones que manejan información de salud y la creciente digitalización de historiales clínicos generan nuevos conglomerados de datos de extrema sensibilidad, que sin embargo no poseen protecciones adicionales, por lo que pueden ser robados para atacar directamente a los organismos de las personas, advirtieron especialistas.
Los sistemas de reconocimiento en los smartphones que utilizan datos biométricos y los cientos de apps que miden ritmos cardíacos o controlan el ciclo menstrual de las mujeres, son la parte más visible de la industria de almacenamiento de datos del cuerpo humano, que se suma a las historias clínicas digitales que portan datos genéticos.
“Es peligrosísimo, pero no es solo una amenaza en presente, es a futuro. Cuando se almacena ADN no sólo se expone uno, expone a los propios hijos que poseen la misma carga genética”, ejemplificó Alfredo Ortega, especialista de la empresa de seguridad informática Avast.
En tanto Santiago Valles, director de ingeniería informática del Instituto Tecnológico de Buenos Aires, señaló que la protección de los datos de salud cuenta con las mismas herramientas que informaciones como las crediticias: procedimiento interno y cifrado. “No hay una seguridad especifica, las soluciones son las mismas. El tema es que las organizaciones tomen conciencia: la herramienta de cifrado se puede tener, pero si está mal implementada, se corren riesgos”.
Si bien no hay unanimidad sobre un posible incremento de ciberataques a este tipo de bases de datos, los expertos las señalan como un blanco propicio para distinto tipo de conductas criminales.
Aunque en la actualidad el tipo de ataque que prolifera es el del secuestro de datos para extorsionar a sus propietarios, desde grupos terroristas hasta Estados en guerra podrían valerse de esas informaciones para diezmar poblaciones enteras.
Entre los casos de mayor resonancia, el ataque con el ransomware WannaCry afectó terminales en hospitales británicos, pero la primera ministra Theresa May y los encargados del Servicio Nacional de Salud aclararon que no existía evidencia que demostrara que las historias médicas hubieran sido afectadas.
Distinto fue el caso de la entidad lituana especializada en cirugías plásticas Grozio Chirurgija que, a principios de junio, sufrió el robo de más de 25.000 expedientes que incluían fotografías de los cuerpos de sus pacientes durante el proceso de las cirugías a las que habían sido sometidos.
Los atacantes pidieron un rescate extorsivo de 300 bitcoins a la clínica, luego bajaron sus pretenciones a 50 bitcoins, para finalizar exigiendo entre 50 y 2.000 euros directamente a los pacientes.
En Argentina, una empresa que almacena datos sensibles y sufre un robo ni siquiera está obligada a reportar la incidencia a los damnificados para que tomen medidas de resguardo.
Por otra parte, la posibilidad de que los datos médicos críticos queden en servidores extranjeros implica que estén “en jurisdicciones legales que no tienen la obligación de conservar esos datos, cuidarlos o no venderlos”, añadió Ortega.
“Si los servicios de seguridad norteamericanos se los pidieran a un juez, los conseguirían. Pero además cuentan con otras maneras de conseguirlos”, agregó.
El mismo peligro se corre con bases de datos estatales que recolectan este tipo de informaciones: en Argentina ya se colectan los datos genéticos de los condenados por delitos contra la integridad sexual y los mismos quedan bajo el análisis del software Codis, propiedad del FBI estadounidense.
Además, la ministra de Seguridad Patricia Bullrrich dijo que se estaba estudiando la posibilidad de compilar la información genética de todos los ciudadanos.
Por otra parte, diversos Estados –como la ciudad y la provincia de Buenos Aires– han reglamentado leyes para la digitalización de las historias clínicas.
Consultados sobre los recaudos que se pueden tomar, los especialistas aclaran que si se toma la decisión de almacenar estos datos, hay que reforzar el entrenamiento del recurso humano que lo maneja.
“Los mayores problemas de fuga de información se dan por algo que se hace mal dentro de la empresa que facilita el robo de información. Tener buenas herramientas es sólo un paliativo. Hay que tener buenos procesos y procedimientos internos y el cifrado de la información, en ese orden”, comentó Valles.
Por su parte, Ortega destacó que la “seguridad 100 por ciento es inalcanzable” y se siguen necesitando “mejoras en la legislación” para proteger esos los datos.
Finalmente, Vallés concluyó: “Todos queremos tener los datos de manera instantánea pero no queremos fijarnos en los problemas que eso supone”.
Comentarios