¿Protegemos bien la información clínica?

Por Fransanlag @fransanlag

Cuando hablo de seguridad y contraseñas siempre menciono un “refrán” que leí una vez y me gustó mucho: “Las contraseñas son como la ropa interior; hay que cambiarla frecuentemente y no dejársela a nadie“. Parece algo bastante razonable, ¿verdad? Pero es muy difícil llevarlo a la práctica.

Los que nos dedicamos a estas “cosas que dan calambre” (como dice un compañero mío refiriéndose a la Informática), tenemos que estar predicando muchas veces al día con esto… y la sensación de estar haciéndolo en el desierto está presente muchas veces; algunos ejemplos: ordenadores con usuarios y contraseñas pegados en un Post-it, contraseñas compartidas para una aplicación departamental, dar las contraseñas de entornos clínicos a personal administrativo para la realización de tareas burocráticas (y que conste que considero que la culpa en este caso es de las aplicaciones, luego me explico), ceder la contraseña del correo electrónico para facilitar alguna cosa… ¿por qué seguir? Seguro que podéis pensar en muchos ejemplos más.

Siempre suelo decir la misma frase cuando veo esto: “¿Dejarías el PIN de tu tarjeta bancaria con la misma alegría?“. Claro, cuando nos tocan el dinero propio las facciones cambian… pero claro, eso es mucho más importante que la información clínica (que tiene el más alto nivel en la Ley de Protección de Datos), ¿verdad?

En muchas ocasiones lo hacemos por desidia, de acuerdo… pero en otras tantas, la cesión de contraseñas puede entenderse (aunque no compartirse). Me refiero a aquellas secciones de nuestras aplicaciones que sólo son accesibles por contraseñas de perfil médico pero que sirven para tareas burocráticas… ¿qué ocurre al final? Que el/la facultativ@ de turno le cederá su contraseña al/la secretari@ del servicio para que cumpla esta función administrativa. ¿Quién es el culpable aquí? Está claro que el que cede la contraseña que, en muchas ocasiones, no es consciente de la gravedad de lo que está haciendo. Pero quiero decir algo, sin justificar la cesión de contraseñas (aclaro)… ¿no deberíamos de diseñar nuestras aplicaciones de forma diferente? Todos los profesionales (clínicos o no) estamos sujetos al secreto profesional. ¿Por qué ponemos trabas absurdas? Al final, como decía Ian Malcom en Jurassic Park: “La vida se abre camino“… y aquellos circuitos mal diseñados y que poco tienen que ver con el día a día de nuestros centros, buscarán su “truco” para resolverlos de la mejor forma para todos… repito, ¿quién es el culpable?

Otro problema que hace que usemos mal las contraseñas es: “¡Es que tenemos una contraseña para cada cosa!“. ¡Y tienen toda la razón! Aunque debo decir que esto es algo que se trabaja y en lo que hemos avanzado mucho a nivel corporativo (hablo de Andalucía)… eso sí, no podemos culpar a nuestra organización de todas las aplicaciones departamentales “ajenas” que intentamos meter en el sistema. Somos nosotros (y eso es algo que intento cumplir siempre que puedo) los que debemos exigir a las empresas externas que se adapten a nuestros sistemas de validación de usuarios (LDAP, dominio… en ese sentido el SAS ha tenido una buena iniciativa: DMSAS).

Y algo que también hacemos muy mal: “¡Yo tengo la misma contraseña para todo: mi fecha de nacimiento!“. Usar la misma contraseña para todo es un error. Conozco muchos casos cercanos que tienen el mismo PIN para las 6 tarjetas bancarias que llevan en la cartera… ¡y a veces la llevan apuntada en un papel en la misma cartera! La segunda reflexión sobre esta frase es que las contraseñas que usamos suelen ser bastante fáciles de atacar:

  • usar palabras (por ejemplo: árbol, prado, primavera, coche o el nombre propio de alguien), hace nuestra contraseña muy sensible a los ataques de diccionario.
  • usar datos personales (por ejemplo: fecha de nacimiento, matrícula del coche, DNI), hace nuestra contraseña muy sensible al hacking social.

¿Qué debemos hacer? Usar palabras que incluyan mayúsculas, minúsculas, números y signos de puntuación. Por ejemplo: T5$hF12! Podéis pensar que será difícil de recordar, pero hay muchos trucos para hacer contraseñas muy fuertes sin tener que recordar gran cosa. Por ejemplo, “primavera” podría ser “Pr1m4v3r4!”… ¿veis?

Tampoco me quiero extender mucho más, ni hacer de esto una clase de seguridad informática. En realidad, todo lo que he escrito venía a cuento de comentar un excelente estudio publicado en JMIR sobre la fortaleza de las contraseñas utilizadas para proteger la información sanitaria en los ensayos clínicos -pero es que me he enredado… como siempre-. Su lectura es muy recomendable para despertar conciencias. Sólo destacaré que “el 93% de las contraseñas -algunas de las cuales protegían miles de registros clínicos con información personal de participantes en ensayos clínicos- fueron crackeadas en poco tiempo con herramientas comerciales que cualquiera puede conseguir“.

Y eso que estamos hablando de proteger con contraseña… no hablamos de encriptar… pero eso lo dejamos para otra entrada, que esta ya es demasiado larga.

Os dejo un enlace al artículo traducido.