* Por Jaime de los Hoyos Moreno
Con creciente regularidad, vemos en las noticias preocupantes anuncios acerca de que tal o cual red social sufrió una filtración de datos, o que alguna institución bancaria sufrió un “hackeo” que comprometió datos de sus clientes. Lo anterior es, lamentablemente, esperable dada nuestra alta dependencia y cada vez mayor interacción con diferentes servicios digitales. Esto ocurre y seguirá ocurriendo siempre que el recurso que se almacena en estos servicios —la información personal de sus usuarios— presente valor para individuos y grupos inescrupulosos que estén dispuestos a vulnerar y sustraer dichos recursos ilícitamente.
Sin embargo, hay un área que no suele ocupar de la misma manera los titulares en cuanto a la cantidad de “ciberataques” que recibe, y no es precisamente porque sea menos interesante para los criminales o porque sea blanco de menor cantidad de vulneraciones de ciberseguridad: es, por supuesto, el sector de la salud.
El sector sanitario, en su conjunto, es una de las áreas productivas con mayor movimiento: miles de pacientes acuden para recibir atenciones de diferentes tipos cada día en hospitales, clínicas, consultorios y otros establecimientos, y cada una de estas visitas genera volúmenes importantes de información. Esta información (que incluye desde datos demográficos, financieros, administrativos y, por supuesto, datos altamente sensibles de las condiciones de salud, diagnósticos, tratamientos recibidos y más de los pacientes) resulta de altísimo interés y valor para los cibercriminales, dadas sus características: la información de salud es inmutable en el tiempo, de modo que un antecedente clínico que se conozca de una persona puede utilizarse a perpetuidad para diferentes fines.
Lo anterior explica que, en el mercado negro de compra y venta de datos en la “dark web”, el valor que puede llegar a alcanzar una copia electrónica de una ficha clínica es muy superior al que se exige, por ejemplo, para los datos de una tarjeta de crédito válida y vigente (algunas cifras hablan de más de 350 dólares por un registro clínico, comparado a menos de 10 por una tarjeta de crédito). Esta información puede ser utilizada para una gran cantidad de fines por parte de actores inescrupulosos, que van desde la comisión de diferentes fraudes contra los pacientes o instituciones, hasta la extorsión de personas amenazando con hacer pública información de alguna condición de salud.
Es claro, entonces, que la salud es un blanco definitivamente atractivo para estos ilícitos; esto resulta patente al analizar datos acerca de qué sectores de la industria reciben mayor cantidad de ataques. No es sorpresivo ver reportes como el publicado por la empresa de ciberseguridad Cylance, que en mayo del 2018 informó que el sector de la salud fue el área de la industria que concentró más ciberataques y vulneraciones que cualquier otro durante el 2017, siendo el destinatario de un 34% de todos los ataques registrados durante ese año.
Teniendo en consideración no solamente la sensibilidad de los datos manejados, sino también la importancia de la operación continuada de los servicios y sistemas que albergan estos datos, la situación se vuelve especialmente preocupante. Las instituciones de salud no solamente se ven expuestas al robo de información desde sus sistemas (que en muchos casos incluso podría no ser detectada), sino que también a la imposibilidad de operar normalmente al ser víctimas de un ataque que cause una denegación de servicio, como ocurre con un tipo de malware que ha tomado progresiva relevancia en los últimos años, el ransomware.
Hemos sido testigos de preocupantes situaciones de este tipo: en mayo de 2017, el NHS (servicio nacional de salud del Reino Unido) fue víctima, como muchas otras instituciones, del ransomware llamado WannaCry, lo que significó un impacto catastrófico para su actividad y, sobre todo, para sus pacientes: al menos 6.900 atenciones, según lo declarado por el NHS (incluyendo consultas, exámenes y hasta cirugías) no se pudieron llevar a cabo y debieron reagendarse para después de la restitución de los sistemas informáticos, lo que tomó días; alrededor de 70.000 equipos se vieron afectados, incluyendo computadores, equipos de imágenes, de pabellón, laboratorio, etc. Otras fuentes mencionan que hasta 19.000 atenciones podrían haberse visto postergadas en realidad.
Recientemente, en Chile también hemos lamentado situaciones de esta naturaleza. A inicios de julio de 2019, la red de imagenología del hospital Sótero del Río fue víctima de un ataque de ransomware que significó una interrupción parcial del servicio que sólo se pudo subsanar tras días de arduo trabajo.
A medida que sea mayor la adopción de sistemas de información en la salud (algo muy necesario y deseable), mayor será también la probabilidad de que estos sistemas y la información que contienen sean vulnerados de diferentes maneras. Este riesgo, inaceptable, nunca podrá ser completamente eliminado, pero sí puede ser mitigado y controlado por las instituciones del sector.
Es crucial, a este respecto, continuar creando conciencia acerca de la situación, y que las autoridades de las diferentes instituciones de la salud formen equipos de trabajo altamente competentes y capacitados en la mitigación de los riesgos, con políticas claras de acción. La seguridad informática es un proceso continuo, no es un producto ni un servicio que se pueda adquirir y olvidarse; a medida que informatizamos nuestra actividad, esto se convierte en un aspecto central a resguardar, especialmente dado lo que está en juego: nuestros pacientes, su información privada, y su seguridad.
¿Y que estamos haciendo en Chile a respecto?
No tanto como nos gustaría. No tenemos mucha información acerca de la prevalencia y éxito de ataques informáticos, y en muchos casos, ni siquiera se llega a saber que ocurrió una intrusión. Por cada caso que conocemos en el que hubo una brecha, existen muchos otros de los que ni siquiera nos enteramos.
En Chile, como en otros países de la región, aún hace falta más claridad acerca de iniciativas y políticas a nivel de las instituciones y del país acerca de la ciberseguridad. En muchas instituciones no se sabe de quien es la responsabilidad de la ciberseguridad (¿TI? ¿Dirección médica? ¿Ambos?).
Asimismo, en muchas organizaciones tampoco existen siempre políticas establecidas de respaldo, detección activa de intrusiones, políticas de recuperación ante desastres, etc.
Felizmente, existen algunas iniciativas en movimiento desde el sector público, muy valorables, que arrojan luz al respecto: la existencia de un CSIRT (Computer security incident response team), junto con el proyecto de ley, actualmente en curso, que modifica y moderniza la ley número 19.628 (ley sobre protección de datos de carácter personal) denotan que, como mínimo, la temática se encuentra en el foco de interés público, y que veremos más acciones al respecto, esperablemente a corto plazo.
- Políticas de ciberseguridad empresarial
- Manejo y recuperación de desastres
- Privacidad y confidencialidad de la información
- Ajuste a requerimientos legislativos
- Arquitectura de seguridad
- Acciones proactivas (pentesting, auditorías de seguridad, detección activa de intrusiones)
. En instituciones en salud, trabajar en estrecha colaboración los aspectos de seguridad entre el área clínica (dirección médica, de enfermería, etc.) y el área técnica (gerencia de TI, etc.)
. Incorporar en las instituciones la figura de un CISO (Chief Information Security Officer) que articule todos los puntos anteriores.
*Médico, titulado el 2006 en la Universidad de los Andes. Desde el 2008 ha estado vinculado laboralmente con la informática en salud, en el área de la educación (DuocUC), en el sector público (Ministerio de Salud de Chile) y también en instituciones de salud como la Red de Salud UC-CHRISTUS. Actualmente se desempeña como Subjefe de Informática Biomédica de la Clínica Alemana de Santiago. Es socio activo de la Asociación Chilena de Informática en Salud (ACHISA), de la que fue presidente entre 2013 y 2015.
