La industria de la salud es una de las más sensibles en términos de seguridad en lo que se refiere a los datos de los pacientes. También es uno de los sectores más atacados por los ciberdelincuentes según diversos informes especializados, como veremos más adelante.

Además, de acuerdo con el Cost of a Data Breach Report 2021 de IBM , aunque “las filtraciones de datos tienen en la actualidad un coste medio de 4,24 millones de dólares (3,9 millones de euros aproximadamente) por incidente”, en el sector sanitario esa cifra se dispara hasta los 9,23 millones de dólares por incidente (8,5 millones de euros aproximadamente).

Sin embargo, a diferencia de otros sectores en los que los ciberataques solo tienen costes financieros o reputacionales para las empresas, en el sanitario las consecuencias pueden ser muy serias e incluso letales para los pacientes.

QUÉ SIGNIFICA UN CIBERATAQUE PARA LOS PACIENTES

El 14 de mayo de 2021, el sistema de salud de Irlanda (HSE) fue víctima de un ciberataque masivo de ransomware. El ataque dejó a varios hospitales en todo el país sin acceso a sistemas electrónicos y hubo que recurrir a los registros en papel. Muchas citas fueron canceladas, incluyendo las de todos los servicios ambulatorios y de radiología.

Donna Marie Culle, de 36 años y madre de dos hijos, fue una de las pacientes que no pudo recibir el tratamiento de radiación que tenía previsto para el sarcoma, una forma rara y agresiva de cáncer cerebral. Cullen había sido diagnosticada en septiembre de 2020 y cuando ocurrió el ciberataque estaba ya en la etapa final del tratamiento.

Cullen no fue la única que se quedó sin tratamiento. En algunas zonas del país el número de citas se redujo en un 80% en los días posteriores al ataque. Unos días más tarde, el 28 de mayo, el HSE confirmó que como resultado de la filtración la información médica confidencial de 520 pacientes, así como muchos documentos corporativos, habían sido publicados online. Fueron necesarios cinco meses para restaurar el 95 % de los servidores y dispositivos de TI afectados.

A year before, on 11 September 2020, a 78-year-old woman died at Helios University Hospital in Wuppertal, Germany. Había sufrido un aneurisma en la aorta en Düsseldorf, pero la ambulancia que la trasladaba al Hospital Universitario de Düsseldorf fue desviada al de Wuppertal, a 32 kilómetros. Esto implicó un retraso de una hora hasta que pudo recibir tratamiento. Murió poco después de llegar al hospital.

La ambulancia había sido desviada debido a un ataque de ransomware que puso en riesgo la infraestructura digital del hospital y obligó a cancelar cientos de operaciones y otros procedimientos. Posteriormente se sugirió que la muerte de esta señora había sido la primera que se había producido a consecuencia de un ataque de ransomware.

Estos son ejemplos reales que nos muestran cómo los ciberataques o los retrasos en la autenticación y atención de pacientes pueden ser fatales en el sector salud.

LA INDUSTRIA MÁS ATACADA

En 2021, solo en Estados Unidos, más de 50 millones de personas vieron comprometidos sus datos de médicos confidenciales. Este es resultado de un análisis de los datos realizado por POLITICO para el Departamento de Salud y Servicios Humanos . 

Por su parte, el informe de Verizon Data Breaches by Industry 2021, también centrado en Estados Unidos, revela que para esta industria el error humano sigue siendo uno de los mayores problemas. Igualmente señala que, en general, el más común de los errores es la entrega equivocada de documentos ya sea en formato electrónico o en papel (36 %). Agrega además que la suma de diversos errores, ataques a aplicaciones web básicas y la intrusión en los sistemas digitales representaron el 86 % de las incidencias.

El informe señala que durante el período cubierto por el estudio (2019-2020), hubo un cambio en el origen de las brechas de seguridad. Antes de 2019 la mayoría de las incidencias era causada por actores internos, pero entre 2019 y 2020 los actores externos fueron responsables del 61 % de éstas. El principal motivo, dice el informe, fue económico (91%).

En este sentido, el Black Kite’s Third-Party Breach Report 2022 estableció que, a pesar de las mejoras de seguridad en el sector de la salud, este representó 33 % de los incidentes de infracciones de datos en 2021. Entre las causas que citan: falta de presupuesto, datos personales de pacientes compartidos remotamente, sistemas y software hospitalarios obsoletos.

Por otra parte, The ForgeRock 2021 Breach Report (que incluye datos de Estados Unidos, Reino Unido, Alemania, Australia y Singapur), señala que, por tercer año consecutivo, el sector salud fue el principal objetivo de los cibercriminales, con el 34 % de las incidencias totales.

En Europa, en la segunda mitad de 2021, se registraron y documentaron 36 registered a instituciones sanitarias, compañías de seguros de salud, hospitales y centros de investigación.

SALUD Y BIOMETRÍA

Como hemos señalado en otros posts, los sistemas tradicionales de seguridad basados en la autenticación de conocimiento están demostrando ser ineficientes frente al cibercrimen.

Las contraseñas pueden ser robadas u olvidadas, especialmente cuando se usan con poca frecuencia, que suele ser el caso de los pacientes que acceden a sus datos de salud. La autenticación biométrica puede ayudar a los proveedores de atención médica a avanzar hacia una identificación sin contraseñas, lo que permitiría un acceso más seguro a los registros médicos electrónicos.

Un patrón biométrico, como una cara o una huella dactilar, son inherentes a cada individuo. La persona se constituye en su propio sistema de identificación. Por lo tanto, la identificación biométrica es una forma muy efectiva de identificar, superando a cualquier forma de identificación física, como tarjeta sanitaria o DNI.

La biometría ayuda a autenticar verdaderamente la identidad de una persona, simplificando los procesos de identificación y recuperación de registros médicos, evitando discrepancias o duplicación en los registros o pérdida de información crítica para el tratamiento del paciente.

El paciente tiene el control sobre su información ya que la guarda en su dispositivo, y como no se envía información confidencial a través de Internet ni se almacena en servidores remotos, ninguna puede ser robada o comprometida.

Por último, pero no menos importante, es un método de identificación más económico a largo plazo, ya que ayuda a eliminar duplicados costosos y previene el fraude cibernético.