Las aplicaciones de salud de terceros que extraen datos de pacientes de los sistemas de registros de salud electrónicos son vulnerables a los hackeos, según un reciente estudio.
Tal y como recoge The Verge, los propios expedientes médicos electrónicos, que se encuentran en los centros de salud y están sujetos, en todo el mundo, a distintas leyes de privacidad, están bien protegidos. Pero tan pronto como un paciente da permiso para que sus datos salgan del registro de salud y se dirijan a una aplicación de terceros, como en programas que rastrean los medicamentos de las personas, por ejemplo, es fácil para los crackers acceder a ellos.
Datos fáciles de extraer para cualquier ciberdelincuente
Los hospitales y los sistemas de atención médica son un objetivo importante para los ciberdelincuentes, y los ataques no han dejado de aumentar en los últimos años. Los datos de salud de los pacientes son parte de la información más valiosa para los piratas informáticos, ya que cada registro puede valer cientos de dólares en la dark web (la «web oscura»), en parte porque no se pueden cambiar fácilmente y es más difícil detectar cuando los datos se utilizan de manera fraudulenta. Por otro lado, los números de tarjetas de crédito se pueden cambiar fácilmente y solo valen unos pocos dólares.
Para este nuevo informe, patrocinado por la empresa de seguridad de aplicaciones Approov, la analista de ciberseguridad Alissa Knight verificó las vulnerabilidades en las aplicaciones creadas con el estándar Fast Healthcare Interoperability Resources (FHIR), que se creó para fomentar el intercambio de información en la atención médica.
La analista comenzó por verificar las aplicaciones creadas dentro de los propios registros de salud electrónicos y no encontró debilidades. Pero cuando probó programas de terceros que se vinculan con registros médicos para extraer datos, encontró problemas importantes. Knight pudo acceder a más de 4 millones de registros de pacientes y médicos de más de 25.000 proveedores a través de esos agujeros de seguridad.
«No necesitaba utilizar hackeo avanzado», dijo John Moehrke, experto en interoperabilidad y miembro del grupo de gestión FHIR, a STAT News. «Ella solo usó cosas básicas que su primer año de ciberseguridad habría enfatizado».
Aplicaciones que deben mejorar su seguridad
Las aplicaciones de terceros y los agregadores de datos son importantes para el cuidado de la salud: ayudan a los médicos y pacientes al colocar los registros médicos en formatos más accesibles, o agregan información de diferentes citas en un solo lugar. Por ejemplo, el Departamento de Salud y Servicios Humanos estadounidense tiene reglas que alientan a los sistemas de salud a asegurarse de que puedan comunicarse entre sí electrónicamente, ya que es importante ayudar a que las personas tengan acceso a su propia información médica y ayudar a los médicos a coordinar la atención.
Pero se debe tener más cuidado y seguridad en torno a esas aplicaciones, escribió Knight en el informe. Una vez que los datos salen de un registro médico y entran en una aplicación de terceros, no están cubiertos por la HIPAA o por leyes similares que controlan la protección de datos o sobre cómo se debe notificar a las personas si se accede a sus datos.
La Comisión Federal de Comercio de Estados Unidos aclaró recientemente que las aplicaciones de terceros tienen que notificar a los usuarios sobre violaciones de datos, pero la comisión no puede añadir regulaciones adicionales de privacidad o seguridad para esas aplicaciones. «Es necesario que haya algún mecanismo de supervisión independiente para proteger a los pacientes y las aplicaciones que utilizan», recomendó el nuevo informe.
