Revista Ciencia
Los datos personales que figuran en las historias clínicas, cada vez más,
representan el objetivo de cibercriminales, quienes amenazan con utilizarlos en
acciones que van desde la venta de la información al uso por parte de
terroristas o Estados.
Nombres completos, fecha de nacimiento, dirección, números telefónicos,
afecciones y hasta genética, son algunos datos que figuran en las historias
clínicas y que, cada vez más, representan el objetivo de cibercriminales,
quienes amenazan con utilizarlos en acciones que van desde la venta de la
información al uso por parte de terroristas o Estados, según un informe sobre
seguridad informática conocido hoy.
"Los
registros médicos incluyen una gran cantidad de información sobre un individuo,
permitiendo un abanico de opciones para cometer crímenes fraudulentos al usar
estos datos. Éstos proporcionan información que puede ser usada directamente o
complementariamente en una amplia gama de cibercrímenes", señaló Susan Biddle,
directora de marketing para el sector del cuidado de la salud en la empresa
Fortinet, dedicada a la ciberseguridad.
En Argentina fueron varias las iniciativas parlamentarias, en distintos
distritos, las que avanzaron para la digitalización de historias clínicas.
Como ejemplo, la Legislatura porteña aprobó en octubre pasado y por unanimidad
la creación del Sistema Integrador de Historias Clínicas Electrónicas (HCE), que
contempla la centralización de los datos de los pacientes del sistema público de
salud en un único registro al cual accedan todos los establecimientos y médicos
autorizados.
En ese sentido, el entrenamiento de los recursos humanos que manejan la
información sigue siendo un punto ciego en las estrategias empresarias: "sólo el
35 por ciento de los altos directivos creen que la ciberseguridad es una
prioridad, entienden los riesgos que representan y son conscientes sobre la
seguridad informática", señaló Biddle.
Esto se explica en que la creciente aplicación de herramientas seguridad y
conectividad en las organizaciones del área de la salud no ha sido acompañada
por la capacitación de los trabajadores.
"Los ataques a través de email e ingeniería social se producen cuando los
cibercriminales engañan a empleados para que suministren información personal o
sensible, como nombres de usuario y contraseñas de la red. Es muy común que hoy
se tomen el tiempo para conocer sobre el empleado y crear direcciones de correo
electrónico y mensajes creíbles adaptados al blanco", añadieron desde Fortinet.
Los atacantes informáticos ya usan regularmente fraudes de identidad por etapas,
al recolectar paulatinamente la información, para obtener y usar lo que aprenden
en contra de otro empleado y así aparentar legitimidad al mismo tiempo.
Una vez que logran obtener la información que necesitan, pueden tanto acceder al
sistema con los nombres de usuario y contraseña que han adquirido, o instalar
malware para robar o poner en peligro la información de los pacientes.
Además, según el informe, hoy es común que los empleados incorporen el uso de
dispositivos electrónicos propios como tabletas o teléfonos a sus ambientes
corporativos, para facilitar que se puedan conectar equipos no autorizados a la
red.
Como resultado de la expansión de los dispositivos móviles, el panorama de
amenazas se ha expandido a una velocidad alucinante y muchos equipos
tecnológicos experimentan problemas para seguir el ritmo.
Asimismo, se pueden provocar daños serios a la ciberseguridad al entrar en
sitios web inseguros o descargar aplicaciones mientras se trabaja.
Aunque las aplicaciones que están disponibles en tiendas oficiales de
aplicaciones suelen ser seguras, ha habido ocasiones en las que aplicaciones no
legales encuentran su camino a los dispositivos conectados.
Lo mismo ocurre al acceder a sitios web inseguros, ya que los empleados que
visitan sitios infectados pueden exponer a robo o corrupción la información
almacenada en sus equipos personales o incluso en la red de la compañía.
"Las organizaciones del sector del cuidado de la salud necesitan tomarse el
tiempo para capacitar sobre estos riesgos a su fuerza laboral mediante
entrenamientos continuos y, al final de esos cursos de entrenamiento, deberían
asegurarse de probar regularmente a sus empleados para evaluar su conocimiento,
en un esfuerzo para reducir los riesgos en el ambiente de trabajo", concluyó
Biddle.
Leído en TELAM.