En la actualidad y como nunca antes, tenemos la posibilidad de utilizar la tecnología para mejorar la salud, pero también para disponer de los datos personales que antes se quedaban en los expedientes médicos.
El problema es que los ciberdelincuentes también pueden tener acceso a toda esa información con diferentes objetivos, desde venta de datos en el mercado negro hasta extorsión y alteración de imágenes para difundir noticias falsas, especialmente en el caso de personalidades públicas.
“Por pensar que es una tecnología en entornos médicos perdemos de vista que se conectan a Internet”, dijo Luis Alonso Ramírez, especialista en ciberseguridad. “Se enfrentan peligros mayores que en los servicios bancarios porque aquí se arriesga la salud de las personas y su vida”.
LEA MÁS: El ‘hackeo’ a la Caja: el ataque al corazón de la seguridad social y la digitalización en Costa Rica
La firma Armis, dedicada a seguridad y visibilidad de activos, publicó a mediados de abril anterior un informe en el que señaló los principales dispositivos médicos conectados y de Internet de las cosas en Medicina (IoMT) que están expuestos a los ciberdelincuentes.
En Costa Rica, la Promotora de Comercio Exterior (Procomer) difundió el reporte de Armis y recordó que la ciberseguridad es clave para las empresas que ofrecen servicios basados en la Tecnología 4.0, incluyendo IoMT y ciberseguridad, y la industria de dispositivos médicos, uno de los sectores de manufactura más dinámicos en la economía local.
Se le debe sumar el crecimiento de la industria de turismo médico que utiliza tecnologías de diagnóstico, tratamiento y seguimiento.
El riesgo está latente. Fortinet reportó que Costa Rica recibió más de 770 millones de intentos de ciberataques, especialmente de ransomware para secuestro de datos con fines extorsivos, como ya ocurrió en 2022 con varias entidades públicas locales, incluyendo el Ministerio de Hacienda, la Caja Costarricense del Seguro Social y el Ministerio de Salud.
El problema
Como en otras industrias, en la de salud se incrementan los servicios de atención y diagnóstico en línea, el uso de dispositivos IoMT y los equipos médicos y de computación conectados a Internet que se alimentan automáticamente de datos de los pacientes, lo que ayuda a mejorar la atención.
Se espera que para el 2026 es utilicen más de siete millones de dispositivos IoMT, duplicando los de 2021. “Los avances en tecnología son esenciales para mejorar la velocidad y la calidad de la prestación de atención”, dijo Mohammad Waqas, arquitecto principal de soluciones para atención médica en Armis, que identificó problemas en los siguientes sistemas:
1. Los sistemas de llamadas a enfermeras son los dispositivos conectados más riesgosos, ya que al menos la mitad tiene vulnerabilidades y exposiciones comunes sin parches.
2. Un tercio de las bombas de infusión tiene vulnerabilidades y exposiciones comunes de gravedad crítica sin parche.
3. Hasta el 86% de los sistemas para dispensar medicamentos presenta vulnerabilidades y exposiciones comunes sin parche y un tercio utiliza versiones de Windows no compatibles.
4. Casi 1 de cada 5 dispositivos médicos conectados ejecuta versiones de sistemas operativos no compatibles.
5. Más de la mitad de las cámaras IP presentan vulnerabilidades y exposiciones comunes.
6. El 37% de las impresoras en clínicas presenta vulnerabilidades y exposiciones comunes.
7. Más de la mitad de los dispositivos de voz por Internet presenta vulnerabilidades y exposiciones sin parches.
Peligros
Un ataque de ciberdelincuentes puede permitirles, por ejemplo:
—Raptar la información (datos personales y de salud, imágenes y otras) para fines extorsivos a las entidades de salud o a los pacientes; también para venta en mercado negro.
—Alterar la información de indicadores del estado del paciente, de diagnósticos, de resultados de tratamientos y de medicamentos con objetivos de daño personal.
“En el entorno de los ciberdelincuentes no hay escrúpulos y no les importa la vida humana”, recalcó Ramírez.
LEA MÁS: Un año del hackeo a Hacienda: crónica del ataque que sometió a Costa Rica
Un problema que se enfrenta en países como Costa Rica es la falta de legislación de protección de datos en general y de salud, la carencia de normas de riesgo cibernético (incluyendo el establecimiento de responsabilidades), la ausencia de entidades con la competencia y capacidad y falta de cultura de seguridad en el campo de salud.
Cómo lo hacen
Cuando encuentran un portillo, los hackers escanean, y secuestran mediante encriptación los datos o los alteran con fines de extorsión o para difundir noticias falsas, y para campañas de daño de reputación de personas y empresas.
Los ciberdelincuentes podrían ingresar y alterar el sistema de oxígeno de un paciente para manipularlo y sin que se genere ningún tipo de alerta al personal médico.
Y las apps de salud
Los fabricantes de los dispositivos inteligentes (relojes, pulseras y teléfonos) y de las aplicaciones implementan sistemas de seguridad y condiciones de servicios que deben cumplir con las regulaciones de privacidad y protección de datos personales a nivel internacional, especialmente las establecidas en Estados Unidos y la Unión Europea.
El problema aquí viene de los hábitos de las personas de publicar en redes sociales información de sus actividades deportivas, de sus resultados y de otras situaciones privadas o íntimas que pueden ser utilizadas por delincuentes.
¿Qué se debe hacer a nivel empresarial?
En las instituciones y empresas de salud como hospitales, clínicas y consultorios se deben implementar medidas de seguridad recordando que los ciberdelincuentes utilizan sistemas de inteligencia artificial para hallar y explorar las vulnerabilidades.
—En la instalación de los dispositivos de IoMT se deben activar las configuraciones y protocolos de seguridad requeridas y recomendadas.
—Se deben complementar esas medidas con otras adicionales que eleven el nivel de protección.
—Se deben implementar las protecciones tradicionales a nivel de las redes locales de conexión (alámbricas e inalámbricas), incluyendo murallas de fuego o firewall.
—Si hay base de datos se debe aplicar la protección que corresponde para evitar fugas, alteraciones y daños de datos. Esto aplica también para los sistemas de trazabilidad de marcapasos, que permiten ver los datos y darle seguimiento a un paciente.
—Las imágenes generadas en Sistema de Información de Radiología (RIS) y almacenadas en sistemas de imágenes médicas (PACS) deben seguir el estándar internacional Dicom de transmisión, almacenamiento, recuperación, impresión, procesamiento y uso de información de imágenes médicas.
—Implementar topologías de alta disponibilidad, diferentes capas de protección por medio del modelo WORM (Write Once Read Many, el cual impide que los objetos se supriman y se sobrescriban, para inmutabilidad de los datos) y esquemas de Tiering Inteligente (para ahorro de costos en almacenamiento de la información).
—Contar con estrategias de protección en:
Tecnología: dotar a la infraestructura tecnológica de mecanismos de protección y detección en los distintos niveles (perimetral, red interna, bases de datos y dispositivos de usuario final y servidores); recurrir a sistemas protección que aprovechen la inteligencia artificial para la detección y análisis de amenazas, segmentación de las redes y mecanismos de recuperación.
Procesos: establecer procesos, procedimientos documentados y demás para la custodia y protección de la información que radica en la entidad, así como delinear políticas que contemplen el buen uso de la información, y los diferentes activos tecnológicos que lo almacenan.
Personas: concientizar y culturizar al personal respecto a las buenas prácticas y procesos implementados para la protección de la información dentro de la entidad, ya que son ellos los que día a día están expuestos a potenciales campañas maliciosas.
“En todos los campos de acción, aplicar la filosofía Zero Trust o Confianza Cero mediante ejercicios ofensivos que permitan medir el nivel de robustez y resiliencia de la infraestructura y así contar con una protección en constante evolución”, dijo Juan Carlos Izquierdo, gerente de ciberseguridad de Four Consulting.
—Cumplir regulaciones como la Health Insurance Portability and Accountability Act of 1996 (HIPAA), una ley de EE. UU. que establece normas acerca de quiénes pueden ver y recibir información sobre su salud, y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
—Cumplir las certificaciones ISO en materia de seguridad tecnológica, como la ISO/IEC 27001 para la protección de la información en función de la confidencialidad y la integridad de los datos.
La aplicación de estas medidas daría la protección adecuada, junto con su permanente actualización. “El IoMT puede ser respaldado por una red privada sin exposición”, indicó Pedro Álvarez, arquitecto empresarial de Four Consulting.
¿Qué se debe hacer a nivel personal?
—A nivel personal se impone la discreción y no publicar ni exponer datos de salud en redes sociales. Pero eso no es suficiente.
—Preguntar y cerciorarse sobre los sistemas de protección de sus datos en hospitales, clínicas, consultorios y laboratorios donde realiza exámenes rutinarios o específicos solicitados por su médico de cabecera o por especialistas. Confirmar que su información no será utilizada para otros fines.
—Uso y resguardo adecuado de las claves y contraseñas para ingreso a plataformas de salud (como en el caso del Expediente Digital Único de Saludo o EDUS).