En diciembre del 2018, los centros de tratamiento de cáncer de Estados Unidos en Western Regional Medical Center, notificaron acerca de aproximadamente 41.000 registros de datos personales de pacientes fueron potencialmente robados a través un ataque de phishing, donde un usuario compartió sus credenciales de la red interna mediante un sitio web fraudulento.

El equipo de seguridad de esta institución en septiembre descubrió que una cuenta de correo electrónico de un empleado fue vulnerada y a través de este ataque los delincuentes pudieron llegar a substraer información típica de los pacientes como nombres, direcciones, teléfonos; junto con datos confidenciales como el número de registro médico, tipo de tratamientos y alergias, enfermedades que padece, nombre de médico, números de seguridad social, tipo de cáncer y otros datos de su salud.

Pero, ¿qué son los EHR o EMR? por sus siglas en inglés (Electronic Medical Records), básicamente, hablamos de registros médicos de una persona o paciente que se almacenan digitalizados como una colección de datos sobre historiales clínicos, exámenes realizados, enfermedades, alergias, medicinas suministradas, información de facturación…. y cuya variedad, dependerá del software que se utilice. Este tipo de datos se gestionan actualmente tanto por doctores como por pacientes desde un dispositivo móvil, aplicación web o de escritorio.

Muchas personas saben que desde hace tiempo sus “huellas” o rastros médicos han comenzado a ser registrados durante sus visitas al médico por medio de dispositivos tecnológicos. En la industria hospitalaria, estos datos se conocen como EHR/EMR/PHR y si bien difieren en varios aspectos, no será la finalidad de este post el analizar sus diferencias. Con la transformación digital, datos contables, agrícolas, industriales, financieros, médicos y otros muchos, forman parte de la masa de información que está digitalizada en internet y disponible para que el usuario pueda consultarla cuando sea necesario.


Características de Plataformas EHR EMR PHR

La industria hospitalaria y medica en general, quizás no están conscientes de esta problemática que obviamente sigue en aumento, lo que debería poner en alerta a las instalaciones de la salud que están siendo cada vez más víctimas de ciberataques. En la actualidad la falta de controles de seguridad implementados en este tipo de industrias derivada en mantener bajos estándares de seguridad y sumado a esto el incremento de dispositivos médicos conectados (IoT) a sus redes, representan un grave riesgo a la seguridad y privacidad de los datos de sus clientes y es donde la delincuencia en internet cada vez más evidencia un negocio rentable.

Se analizado varios vectores de ataque y encontrando varios fallos de seguridad en diferentes tipos de entornos sanitarios; así como también ya comentamos al inicio de este articulo, cada día son mayores los ataques dirigidos a las infraestructuras sanitarias.

Es oportuno que, este tipo de empresas y toda industria de tecnología, reduzcan mediante controles integrales de ciberseguridad los riesgos en este tipo de entornos. Cada uno con su rol, las empresas que crean tecnología, haciéndola de manera segura, las empresas implementando y monitoreando controles; además que los gobiernos u organizaciones se vean involucradas en crear acciones regulatorias que fuercen a mejorar la seguridad de este tipo de compañías.

Es evidente que al no tomar las acciones necesarias la industria sanitaria seguirá cada vez mas envuelta en las principales portadas de noticias tecnológicas y de seguridad sobre “leaks” de datos privados, además de sanciones regulatorias (en países que aplique), multas económicas, reputación, etc.; con lo cual, esperamos que toda la divulgación que brinda la comunidad sirva para tomar conciencia de la importancia de la ciberseguridad en este campo.

About Author

Carlos Avila

Chief Security Ambassador, ElevenPaths

Deja un comentario