El ataque informático a centros sanitarios y aseguradoras médicas y el acceso a datos médicos y personales

Todas las personas que navegamos habitualmente por Internet hemos oído hablar sobre la palabra “hacking” o “phishing” como términos relacionados con el “pirateo informático“. Aunque mucha gente piensa que todos los hackers son malos, en verdad no es así y cabría hacer la diferenciación entre el término ciberdelincuente y hacker; pero esto se podrá tratar en otro artículo. A todo aquel que esté interesado en las diferencias y las definiciones de estos términos, el siguiente video puede dar una explicación detallada mediante el debate de una serie de expertos:

La intención de este autor con la presente publicación es recoger una serie de noticias y ejemplos, para dar paso en una segunda fase en la que publique artículos relacionados con la seguridad informática en los sistemas sanitarios.

La mayoría de las noticias recogidas no lo son en la prensa española, pero no por ello dejan de ser reveladoras de la evolución y la incidencia de la informática en el sector sanitario, en la que cada día intervienen más elementos relacionados con la informática (hardware, software) tanto para la gestión de datos, como en el tratamiento de los pacientes.

 1.-  La primera noticia que recojo fue publicada en la edición digital del mes de febrero de 2015 por la revista mensual estadounidense WIRED  bajo el título “The Root of the Problem: How to Prevent Security Breaches“, cuyo autor es Tim Cannon, vicepresidente de gestión de productos y marketing de HealthITJobs.com

key_security_660

  •  Síntesis de la noticia:

 Anthem, una de las mayores compañías de seguros de EE.UU sufrió un ciberataque por el cual le robaron datos a más de 80 millones de sus clientes de seguros privados de sanidad (http://www.wsj.com/articles/health-insurer-anthem-hit-by-hackers-1423103720). La empresa, en su defensa, manifestó que no tenía constancia de que se hayan obtenido datos médicos o financieros de esos clientes.

Anthem headquarters in Indianapolis, Jan. 28, 2015.

 2.-  La segunda noticia, y relacionada con la anterior, también fue publicada en la edición digital del mes de febrero de 2015 por la revista mensual estadounidense WIRED  bajo el título “Health Insurer Anthem Is Hacked, Exposing Millions of Patients’ Data“, la cual amplia la anterior profundizando al facilitar más datos de la acción de intromisión en las bases de datos de Anthem, y así el hecho de que tanto los datos de la seguridad social como la fecha de nacimiento de sus clientes no estaban encriptados.  Este caso se podría contabilizar como cualquier otro caso de ciberataque a una gran empresa en EEUU, pero es noticia porque indica que estas empresas también son objeto de ataques por parte de ciberdelicuentes.

Esta tendencia se debe posiblemente a dos factores:

  • La gran cantidad de información privada (y por tanto valiosa por parte de terceros), que estas compañías guardan en sus bases de datos.
  • El hecho de que no apliquen los últimos sistemas de seguridad, tanto en software como en hardware, para poder evitar, dentro de lo posible, estos ataques.

Estos hechos no sólo han afectado a Anthem, sino también a otras compañías tanto aseguradoras como relacionadas con el sector sanitario, y así Premera Blue Cross, hecho que fue recogido igualmente en la revista WIRED en su edición digital del 17 de marzo de 2015, y cuyo autor es Kim Zetter, bajo el título: “Hackers May Have Taken Medical Records From Insurer Premera

Si en el anterior caso el ataque se limitó básicamente a recabar los datos de la seguridad social y cuentas de correo electrónico; en el caso que afectó a Premera Blue Cross los ciberdelincuentes accedieron a:

  • Fechas de nacimiento.
  • Cuentas bancarias.
  • Números de la seguridad social.
  • Registros de reclamaciones.

Pero lo más grave es que tuvieron acceso a la información sanitaria privada de sus clientes, hecho que comporta la posibilidad de extorsionar a los clientes de la entidad aseguradora.

 

En la web de Premera Blue Cross  está publicado a día de hoy (24/08/2015) un comunicado de la empresa, en el cual el CEO (managing director) de la compañía en el que explica lo sucedido (“Attackers gained unauthorized access to our IT systems and may have accessed the personal information of our members, employees and other people we do business with.)

Por último cabe decir que el inicio de robo de información no sólo se concreta a un solo día, sino que los ciberdelincuentes accedieron a los sistemas de la compañía desde el 5 de mayo del 2014 hasta el 29 de enero del 2015, fecha en la que Anthem tuvo conocimiento de que estaba sufriendo un ciberataque, por lo que al hecho concreto del acceso a los datos se une el hecho de la falta de control puesto que eras desconocedores e ignoraban que estaban sufriendo un ciberataque durante tan largo período de tiempo.

Espero que estas dos noticias ayuden a entender que a veces las compañías de seguros pueden sufrir robos de sus bases de datos, y ello puede llegar a tener consecuencias tanto para su empresa, pero sobretodo para sus clientes.

Las empresas de seguros de EEUU, mediante un aviso por parte de FBI, ya han estado aplicando nuevas técnicas de seguridad para mejorar la privacidad de sus bases de datos. Pero parece que en un futuro este tipo de noticias pueden llegar a ser cada vez más frecuentes, y por tanto las aseguradoras tendrán que mejorar su infraestructura en seguridad informática para afrontar los retos del futuro.

Licencia de Creative Commons
El ataque informático a centros sanitarios y aseguradoras médicas y el acceso a datos médicos y personales by Rafael Camero Gómez, José Enrique Pérez Palaci is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.

Anuncios
Esta entrada fue publicada en ciberataque, Dirección Hospitales, Gestión Clínica, Nuevas Tecnologías, Telemedicina y etiquetada . Guarda el enlace permanente.

Deje Usted un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s