Los ciberataques contra el sector salud se han vuelto particularmente relevantes en los últimos días. A la amenaza sanitaria planteada por el COVID-19 se suman las ciberamenazas de hackers que han atacado los sistemas computacionales de hospitales en Francia, España y Estados Unidos. El ataque, con la modalidad de ransomware, se dirige a los empleados de las instituciones, a los que intenta engañar con correos falsos con supuesta información sobre la epidemia de coronavirus.

Al abrir los correos, los dispositivos que utilizan el sistema operativo Windows quedan infectados con el malware llamado NetWalker (antes conocido como Mailto). Este programa compromete la seguridad de las redes y encripta los archivos. Luego, despliega un mensaje en el que pide el pago en línea de un rescate y se proporcionan las instrucciones para hacerlo.

De acuerdo con el sitio de la comunidad Bleeping Computer, dicho ransomware se vale de un archivo adjunto nombrado “CORONAVIRUS_COVID-19.vbs”, que contiene un ejecutable y código malicioso. Otros malwares que han sido lanzados contra las instituciones de salud durante esta epidemia han sido TrickBot y FormBook —diseñados para robar información— y un ransomware llamado CoronaVirus, el cual suplanta el sitio web de la utilería de limpieza WiseCleaner. Este malware fue detectado por los técnicos de MalwareHunterTeam, un equipo dedicado a la detección e identificación de programas de secuestro de datos, como los empleados en los ciberataques contra el sector salud.

Información valiosa

Alerta: ciberataques contra el sector salud

El objetivo de los hackers puede ser la extorsión —en el caso de los ransomware— o el robo de información. En el primer caso, si los equipos del hospital quedan infectados, puede ser catastrófico, pues puede resultar imposible recuperar los archivos encriptados, aun si se paga el rescate. Si se trata de robo de información, el objetivo suelen ser los expedientes clínicos electrónicos (ECE).

La gran mayoría de los hospitales privados en México ya tienen en funcionamiento algún sistema de expediente clínico electrónico. En el caso de las instituciones públicas, si bien existen expedientes electrónicos, no han sido aún coordinados a nivel federal, estatal ni entre las instituciones del sector público. Aun así, para regular su manejo se emitió la Norma Oficial Mexicana NOM-004 Salud, Expediente Clínico.

¿Qué información específica debe tener una institución de salud? ¿Quiénes dentro de la institución debe tener acceso a esa información? ¿Cuándo y cómo es deseable que esa información sea compartida por la institución y en qué escenarios debe ser protegida sin compartirla externamente?

Sin duda el historial clínico, las consultas, enfermedades, los síntomas, el tipo de seguro médico y muchos más campos en nuestro historial clínico son exclusivos de la institución de salud y, de hecho, son privados y propiedad del paciente, de acuerdo con la legislación. Muchas empresas de seguros tienen convenios con hospitales para temas de cobertura a pacientes que son clientes de la aseguradora, pero eso no les da acceso a la información de nuestro expediente clínico.

El riesgo de los ciberataques contra el sector salud

Alerta: ciberataques contra el sector salud

Si bien lo recomendable es tener como institución —y como departamento de TIC en particular— políticas de protección de datos con múltiples niveles de seguridad y confidencialidad, aún queda un buen trecho por recorrer en México. Una investigación periodística realizada en 2018 por Arena pública reveló que, en las políticas de privacidad que por ley están obligadas a publicar, casi ninguna institución de salud hace mención explícita de su responsabilidad en la ciberseguridad de los datos de los pacientes. De hecho, sólo el ISSSTE especifica los pasos que toma para lograr dicha protección, aunque señala que no son infalibles y pide a los pacientes estar conscientes de ello.

De acuerdo con una entrevista realizada por el CONACYT a la maestra Itzelle Medina —quien actualmente realiza en la Universidad de Sheffield, Reino Unido, una investigación doctoral sobre el flujo de los datos personales en el sistema de salud británico—, para que realmente sea eficaz la protección ante los ciberataques contra el sector salud resulta indispensable crear en los médicos una cultura institucional de protección a la privacidad. De esa manera, apunta la investigadora, podrán dimensionar las consecuencias de compartir la información y determinar con más facilidad en qué circunstancias es pertinente hacerlo sin violar las leyes ni poner en riesgo al paciente.

Protección: ineludible

Alerta: ciberataques contra el sector salud

Para lograr protegerse de los ciberataques en el sector salud, el mejor camino pasa por establecer políticas muy claras y apegadas a las leyes, además de implementar el entrenamiento continuo de todo el personal.

Algunas acciones básicas para evitar ser víctima de un ciberataque son:

●Abrir sólo aquellos correos electrónicos cuyos remitentes son conocidos y confiables.

●Descargar software sólo de sitios de confianza.

●Mantener los programas antivirus y antimalware actualizados.

Estas acciones permitirán garantizar, tanto al paciente como a la institución, que la información clínica tiene un manejo adecuado para minimizar el riesgo de que sean compartidos sin autorización ni —lo que sería mucho peor— robados o víctimas de un ciberataque.