Riesgos en la seguridad informática en salud - 4 casos resonantes.

Riesgos en la seguridad informática en salud - 4 casos resonantes.

La información en las instituciones de salud no debe por ningún motivo estar en internet. Se deben utilizar redes bajo conectividad con acceso bloqueado.

Este artículo inicialmente estaba orientado al análisis de seguridad informática en telemedicina. Pero ante las circunstancias presentadas en los últimos cinco años en el entorno mundial, y a las cuales me referiré más adelante, decidí que se debía ampliar el espectro a la totalidad del sector salud.

Hoy el mundo, gracias al internet, está abocado a una avalancha de información sin precedentes. Facebook, Instagram, Twitter, Skype, WhatsApp, etc., son parte de la vida cotidiana en la comunicación global. En muchos casos, sin temor a exagerar, ya no podemos vivir ajenos a estas aplicaciones, las necesitamos y las utilizamos a diario. Para nadie es un secreto la marcada vulnerabilidad de la red informática que utilizamos a diario; ejemplos hay miles. La prensa mundial nos ilustra al respecto con penetraciones espurias por hackers al pentágono en los Estados Unidos de América, al FBI, a bancos, a gobiernos, como el sonado caso de los WikiLeaks, en fin, la lista es interminable.

Cuando nos referimos a las instituciones de salud, las cuales han avanzado de manera sensible en procesos informáticos, por lo regular no manifestamos preocupación por penetraciones espurias de hackers. Solo cuando estalla un escándalo de esta índole aquí o allá, vemos una corta nota en los medios de comunicación que refiere al tema, y esto es preocupante si tenemos presente que la legislación mundial considera la información médica de los pacientes estrictamente confidencial. Partamos de un principio: absolutamente, y sin excepción, toda la información médica alojada en computadores y servidores de las instituciones de salud está solo en custodia de estas últimas, no son las dueñas de esa información, el único dueño de ella es el paciente. El personal de la salud que está leyendo este artículo sabe y conoce hasta la saciedad la confidencialidad que existe entre los médicos y los pacientes. Para ilustración de los lectores, me permito citar algunos casos que demuestran que la seguridad informática en salud no se puede tomar a la ligera.

Caso número uno:

En marzo de 2014, la base de datos contenida en 27 DVD de pacientes pertenecientes al sistema de salud NHS del Reino Unido fue entregada a la gestión de un grupo de consultores, quienes subieron la información a servidores de Google fuera del Reino Unido. Las consecuencias de esto se resumen en cuatro situaciones delicadas: 1. La policía tuvo acceso por la “puerta trasera” a los historiales médicos de pacientes ambulatorios y hospitalizados. 2. Se utilizaron los datos para localización de los pacientes por parte de terceros. 3. Organizaciones como laboratorios farmacéuticos, compañías aseguradoras y proveedores de salud privados adquirieron los registros médicos de los pacientes desde el año 1999. 4. La información extraída contenía: número NHS de la persona, fecha de nacimiento, código postal, etnia y género. Los grupos de pacientes se preguntaron: ¿qué garantías existen para proteger la privacidad de la información médica?

Caso número dos:

En mayo de 2014, dos organizaciones de salud americanas, el Hospital Presbiteriano de Nueva York y la Universidad de Columbia, debido a dos factores: almacenamiento de información médica en servidores con acceso a la nube de internet y a la no existencia de medidas de seguridad eficientes, ocasionaron que la información de 6.800 pacientes, entre ellas historias clínicas, medicamentos administrados, resultados de laboratorio clínico, etc., terminara en los buscadores web. La irregularidad fue detectada tiempo después, cuando una persona se percató por internet de que su socio había fallecido. Esta situación, investigada por el Departamento de Salud y Servicios Humanos (HHS, por su sigla en inglés) y la Oficina de Derechos Civiles (OCR, por su sigla en inglés), ocasionó sendas multas al hospital Presbiteriano de Nueva York y a la Universidad de Columbia que sumaron $ 4.800.000.oo dólares, en conjunto con esta advertencia: “Cuando las entidades de salud participan en acuerdos de cumplimiento, que pueden ser conjuntos, comparten la carga de hacer frente a los riesgos de la información protegida del paciente”, conceptuó Christina Heide, Directora adjunta de información de la privacidad en salud de la Oficina de Derechos Civiles (OCR). “Nuestros casos contra NYP y CU deben recordar a las organizaciones de atención de la salud la necesidad de tener prioridad en la seguridad de datos y la forma en que gestionan sus sistemas de información en salud”.

La información en las instituciones de salud no debe por ningún motivo estar en internet. Se deben utilizar redes bajo conectividad con acceso bloqueado.

Caso número tres:

Ocurrió en enero de 2016, en el hospital Royal Melbourne en Australia. Cuando Microsoft anunció el fin de soporte para Windows XP, el hospital de Melbourne fue penetrado por un virus informático que causó un caos hospitalario sin precedentes. Hasta hace pocos días, absolutamente todos los procesos de los pacientes que se llevaban a cabo en el sistema informático de la institución, por obligación tuvieron que realizarse en papel. El error ocurrido aquí se debió a un solo factor: toda la información gestionada al interior del hospital pasaba por la nube de internet.

Caso número cuatro:

El día 16 de febrero de 2016, en Los Ángeles, California, el hospital Hollywood Presbyterian Medical Center fue atacado por hackers, quienes literalmente secuestraron y bloquearon toda la información de los pacientes de la institución con un virus informático (ransomware) (la palabra ransom proviene del término inglés que significa “rescate”) que dejó el sistema completamente inoperativo.

Los hackers, hasta la publicación de este artículo, pedían al hospital un rescate por valor de 3.4 millones de dólares para devolver la información secuestrada. El FBI aún continúa con la investigación y por el momento la información relacionada con los pacientes se diligencia en papel. ¿En qué falló el hospital? En mantener su sistema informático con los datos internos de los pacientes conectado a la nube de internet.

Las situaciones citadas nos enseñan que la información en las instituciones de salud no debe por ningún motivo estar en la nube de internet. Absolutamente al interior de todas las instituciones de salud y a través de telemedicina “outdoor” se deben utilizar, sin ninguna excepción, redes bajo conectividad: Virtual Private Network (VPN), donde el acceso a la nube esté completamente bloqueado. Este principio, si bien no es una solución radical para estos problemas, por lo menos minimiza el riesgo de penetraciones espurias. En lo personal, cuando diseño sistemas de telemedicina, el acceso a cualquier computador siempre se realiza con identificación biométrica y/o identificación de iris, con lo cual queda almacenado el registro del paciente atendido por un profesional de la salud.

Para finalizar, recordemos que los hackers no solo pretenden tener acceso a la información médica para pedir, como se comenta en uno de los casos, rescate de la información. Mantener la puerta informática abierta en las instituciones de salud públicas y/o privadas tiene consecuencias más graves, como: penetraciones de laboratorios farmacéuticos, quienes con una base de datos médica pueden, sin ningún reparo, abordar pacientes directamente y ofrecerles medicamentos para las patologías que padezcan. Los traficantes de órganos, en un momento determinado con una base de datos de personas que requieran trasplantes, pueden extorsionar a médicos y pacientes, y, en el peor de los casos, tener toda la información demográfica de una persona puede significar no un secuestro informático sino un secuestro real.

En la próxima entrega nos referiremos a la ética médica y a la legislación existente en telemedicina.

 Artículo proveniente de la edición impresa Abril-Mayo de 2016 con el código EH0416SEGSAL - Karim Nader Ch., MD

Inicia sesión para ver o añadir un comentario.

Otros usuarios han visto

Ver temas