Protección de datos personales, un flanco vulnerable de la industria médica
Hasta cuando se va al hospital hay que estar al pendiente del tema de ciberseguridad y protección de datos personales.
Aunque no son tan comunes como en otras industrias, los ciberataques en el sector salud suceden, y son pocos los centros médicos que saben cómo proteger los datos personales de sus pacientes
“La industria de la salud es uno de los principales blancos del robo de información médica, y ha quedado rezagada frente a otras industrias respecto a la seguridad de información sensible”, señala Glenn Cohen, autor de un estudio sobre el tema publicado por la revista especializada Technology And Health Care en septiembre de 2016.
Te puede interesar: Lecciones para la protección de datos personales de Europa para México, 26 de marzo de 2018
Dado que el conjunto de información médica de un paciente puede contener datos sensibles ya sea de índole personal o financiera, el sector salud es particularmente atractivo para cibercriminales dedicados al robo o secuestro de estos datos, señala Cohen, quien se desempeña como profesor de derecho en la Universidad de Harvard.
Los ataques informáticos en el sector salud no suelen suceder con frecuencia, pero cuando lo hacen afectan a miles de personas y pueden tener un costo muy alto para el hospital o centro médico que los sufra.
Entre marzo y junio de 2015, el Servicio Nacional de Salud británico (NHS por sus siglas en inglés) fue víctima de un ciberataque en el que se bloqueó el acceso a archivos con información médica de pacientes en 40 instituciones afiliadas a la NHS, según reportó la prensa inglesa.
La protección de datos personales de pacientes es un tema poco cuidado por el sector salud (Foto: Presidencia de la República Mexicana)
Los archivos se volvieron inaccesibles a menos que se pagara una cuota de 230 libras esterlinas (5 mil 900) por cada uno. La NHS logró recuperar el acceso a la información, aunque no se reportó si fue necesario pagar el rescate.
Jackie Doyle-Price, ministra del Departamento de Salud británico, informó el 2 de julio de 2018 que la información de aproximadamente 150 mil pacientes estuvo en riesgo durante el ataque.
Como respuesta al hackeo, la NHS tuvo que invertirle 70 millones de libras esterlinas (mil 789 millones de pesos) al rubro de ciberseguridad en 2017, más otros 150 millones (3 mil 855 millones de pesos) planeados para los tres años siguientes, según informó la institución en su portal oficial.
@mswindells with @nhscio at today's #NHSEnglandBoard meeting on the #WannaCry #cybersecurity attack. "We are working with @NHSDigital & all other partners & stakeholders to prepare for the future. It requires everyone to understand this at all levels to both prevent & respond" pic.twitter.com/f0DolfF67W
— NHS England and NHS Improvement (@NHSEngland) February 8, 2018
El 13 de abril de 2018, la organización médica Texas Health Resources informó que había sufrido un hackeo a sus cuentas oficiales de correo en octubre de 2017 que puso en riesgo los datos personales de más de 3 mil 800 pacientes.
Aunque en México no se han reportado hackeos a bases de datos hospitalarias con el fin de robar o secuestrar datos personales, el Hospital Regional de Alta Especialidad de Oaxaca sufrió el 8 de mayo de 2018 un ciberataque que afectó el funcionamiento de sus sistemas de comunicación y equipo médico, según reportó la prensa local.
¿Qué tanto protegen mi información los hospitales?
Son pocos los hospitales e instituciones de salud en México que mencionan explícitamente en su política de privacidad la seguridad de datos personales de sus pacientes, y menos aún los que garantizan su protección.
El Instituto Mexicano del Seguro Social, por ejemplo, no hace mención en su política de privacidad del tema de seguridad de datos de pacientes en caso de ciberataques por parte de terceros; se limita a explicar qué tipo de datos guardan, los usos que pueden darles y lo que puede hacer el titular de estos si no desea que sean tratados ni transferidos.
Lo mismo sucede con las políticas de privacidad y datos personales del Centro Médico ABC de la Ciudad de México y el Hospital Christus Muguerza de Monterrey, Nuevo León.
Te puede interesar: Delegado de protección de datos, el nuevo trabajo más codiciado, 15 de febrero de 2018
El Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE), por su parte, sí deja claro que toma medidas necesarias para proteger información sensible de sus pacientes. Sin embargo, enfatiza que “el usuario debe ser consciente de que las medidas de seguridad en internet no son inexpugnables”.
Lo mismo señala el Hospital San José del Tecnológico de Monterrey. Según su política, el hospital “no puede garantizar que la información transmitida utilizando su servicio [de Internet] sea completamente segura, con lo cual el Usuario corre su propio riesgo”.
La red de hospitales privados Doctors Hospital entra en mayor detalle sobre sus mecanismos de seguridad, mencionando sistemas cifrados accesibles sólo vía contraseña y espacios de acceso limitado donde se archivan expedientes.
Sin embargo, no hace la misma advertencia que el ISSSTE ni explica cómo se procedería en caso de robo o secuestro de datos de pacientes, aspecto omitido también por el resto de los hospitales e instituciones médicas mencionadas.
¿Cómo responderían los hospitales del país al robo o secuestro de datos personales de sus pacientes?
Hay maneras de fortalecer la ciberseguridad en hospitales, pero perfeccionarla es una tarea muy difícil, sobre todo dada la necesidad en hospitales modernos de que la información fluya y la creciente demanda de los pacientes por tener acceso a sus propios datos, dijo Glenn Cohen al portal de noticias tecnológicas Futurity.
“Hasta cierto punto, estos ataques son inevitables”, añadió.
MÁS INFORMACIÓN: Cybersecurity in healthcare: A systematic review of modern threats and trends, Technology And Health Care, 20 de septiembre de 2016
MÁS INFORMACIÓN: NHS cyber-attack: GPs and hospitals hit by ransomware, 13 de mayo de 2017
MÁS INFORMACIÓN: A Notice to Our Patients Regarding an Email Account Incident, Texas Health Physicians Group, 13 de abril de 2018