En esta nueva entrada del blog, me referiré a las amenazas cibernéticas en la salud, partiendo de los ataques cibernéticos generales a los particulares en instituciones de salud, sean estas públicas y/o privadas.
Internet desde los años 80 forma parte de nuestro día a día. Podemos decir sin temor a equivocarnos que la interacción de los seres humanos con la red mundial, sea esta alámbrica o inalámbrica, es un hábito que jamás podrá ser erradicado de nuestro entorno. En este contexto, así como existen infinidad de bondades que brinda esta maravillosa red, también hay múltiples vulnerabilidades que afectan nuestra privacidad. Problemas que día a día van en aumento en regiones como Latinoamérica, un blanco preferido de los piratas informáticos o hackers, como lo demuestra un estudio divulgado por la compañía Kaspersky Lab (1), en agosto del año 2018 que destaca el registro de “746.000 ciberataques en los últimos doce meses, un incremento del 60 por ciento con respecto al periodo anterior, en un promedio de nueve ataques por segundo en la región”.
Lo relatado no es gratuito, el apetito desbordado de los hackers por los sistemas informáticos en Latinoamérica lo resume Álvaro Santa María (2), director de seguridad de IBM para América Latina, quien asegura que: “nuestros países y nuestras empresas son blanco fácil para estas organizaciones pues aún hay muchas compañías que son reactivas y no proactivas y, por esa razón, estamos moviéndonos muy despacio a tecnologías que ya están disponibles”.
Lo anterior queda demostrado en el informe 'Estado de la ciberseguridad en el sector bancario en América Latina y el Caribe' (3), publicado por la Organización de Estados Americanos y el cual revela que 92 % de los bancos de la región fueron víctimas de ciberataques en el 2018.
Ahora bien, a nivel Europa, uno de los casos más emblemáticos de ataques cibernéticos se presentó en enero de 2019, cuando hackers incursionaron en la información privada de cientos de políticos alemanes (4). Con todo esto, la realidad es que existe y ya es parte de nuestro vocabulario el término ciberterrorismo.
En lo que respecta a seguridad informática en salud, el planeta entero está completamente vulnerable frente a los ciberterroristas. Si bien los casos ya comentados son delicados, cuando hablamos de la información de pacientes pasamos a otro plano de inseguridad que de por si es alarmante.
Entre los años 2015 y 2018 se han presentado ciberataques en salud a nivel mundial que sobrepasan las barreras (firewall) sin contemplación. Añadido a esto, con unos cobros por secuestro de la información médica sin precedentes, incluida la extorsión de los hackers, amenazando con desconectar equipos biomédicos sensibles en los hospitales. Importante mencionar que, sin excepción, las instituciones que han sufrido este tipo de terrorismo han debido erogar grandes cantidades de dinero en criptomonedas.
Es triste decirlo, pero las grandes culpables de esto son las mismas instituciones de salud. La laxitud con que se maneja la información médica al interior de hospitales o clínicas, sean estos públicos o privados, y consultorios particulares, es abismal.
A continuación se enumeran y recomiendan una serie de parámetros que pueden ayudar a minimizar el problema, pues bien sabido es que para las penetraciones informáticas espurias en las entidades de salud, nadie tiene a la fecha la última palabra:
- Se deben instalar dos tipos de redes informáticas alámbricas e inalámbricas al interior de las instituciones de salud independientes una de otra: la primera red de uso exclusivo para el personal asistencial, directivo y administrativo bajo Virtual Private Network -VPN- y la segunda red de uso público.
- A todo el hardware (computadores y equipos biomédicos) y sus respectivos softwares se debe acceder. única y exclusivamente, con identificación biométrica y/o de iris, que debe ser almacenada previamente con la autorización de acceso por parte de las directivas de las instituciones para cada equipo, que sin equanum debe ser de uso exclusivo por cada persona en particular. Dos observaciones importantes: 1. los computadores de escritorio, portátiles y tabletas tienen que ser suministrados por la entidad de salud. 2. Todos los equipos informáticos, sin excepción, deben poseer autoadhesivo RFID, con monitoreo y alarmas en tiempo real, para evitar así la extracción de los mismos de la institución.
- Los computadores y los equipos biomédicos, dependiendo del área correspondiente, deben tener prioridades definidas de acceso, establecidas por el Departamento de Sistemas de la institución.
- Cada institución de salud debe contratar un Data Center externo, mínimo TIER III (disponibilidad de 99.982 %), o si se quiere un Data Center TIER IV (disponibilidad de 99.995 %) para el almacenamiento y acceso de su información general, obviamente con su respectivo back up en espejo en tiempo real.
- Como se mencionó en el punto 1, la segunda red informática para uso público debe ser completamente ajena en todo lo relacionado al almacenamiento y acceso de la información en el Data Center.
- En ningún momento y circunstancia, las directivas de las instituciones deben contemplar el almacenar información médica en la nube de internet, con el pretexto de “ahorrar” costos.
Referencias
(1) https://www.eltiempo.com/economia/sectores/como-entrenar-contra-el-cibercrimen-en-el-x-force-cyber-range-de-ibm-311934
(2) https://www.eltiempo.com/economia/sectores/como-entrenar-contra-el-cibercrimen-en-el-x-force-cyber-range-de-ibm-311934
(3) http://www.oas.org/es/sms/cicte/sectorbancariospa.pdf
(4) https://www.youtube.com/watch?v=thRZpsICRpA