Historias clínicas, el nuevo botín de los cibercriminales

Miércoles, 14/06/2017
Cada vez más, estos datos representan el objetivo de robos, que se utilizan para ser quienes amenazan con utilizarlos en acciones que van desde la venta de la información al uso por parte de terroristas o Estados.
Telam

Nombres completos, fecha de nacimiento, dirección, números telefónicos, afecciones y hasta genética, son algunos datos que figuran en las historias clínicas y que, cada vez más, representan el objetivo de cibercriminales, quienes amenazan con utilizarlos en acciones que van desde la venta de la información al uso por parte de terroristas o Estados, según un informe sobre seguridad informática conocido.

"Los registros médicos incluyen una gran cantidad de información sobre un individuo, permitiendo un abanico de opciones para cometer crímenes fraudulentos al usar estos datos. Éstos proporcionan información que puede ser usada directamente o complementariamente en una amplia gama de cibercrímenes", señaló Susan Biddle, directora de marketing para el sector del cuidado de la salud en la empresa Fortinet, dedicada a la ciberseguridad.

En Argentina fueron varias las iniciativas parlamentarias, en distintos distritos, las que avanzaron para la digitalización de historias clínicas.

Como ejemplo, la Legislatura porteña aprobó en octubre pasado y por unanimidad la creación del Sistema Integrador de Historias Clínicas Electrónicas (HCE), que contempla la centralización de los datos de los pacientes del sistema público de salud en un único registro al cual accedan todos los establecimientos y médicos autorizados.

En ese sentido, el entrenamiento de los recursos humanos que manejan la información sigue siendo un punto ciego en las estrategias empresarias: "sólo el 35% de los altos directivos creen que la ciberseguridad es una prioridad, entienden los riesgos que representan y son conscientes sobre la seguridad informática", señaló Biddle.

Esto se explica en que la creciente aplicación de herramientas seguridad y conectividad en las organizaciones del área de la salud no ha sido acompañada por la capacitación de los trabajadores.

"Los ataques a través de email e ingeniería social se producen cuando los cibercriminales engañan a empleados para que suministren información personal o sensible, como nombres de usuario y contraseñas de la red. Es muy común que hoy se tomen el tiempo para conocer sobre el empleado y crear direcciones de correo electrónico y mensajes creíbles adaptados al blanco", añadieron desde Fortinet.

Los atacantes informáticos ya usan regularmente fraudes de identidad por etapas, al recolectar paulatinamente la información, para obtener y usar lo que aprenden en contra de otro empleado y así aparentar legitimidad al mismo tiempo.

Una vez que logran obtener la información que necesitan, pueden tanto acceder al sistema con los nombres de usuario y contraseña que han adquirido, o instalar malware para robar o poner en peligro la información de los pacientes.

Además, según el informe, hoy es común que los empleados incorporen el uso de dispositivos electrónicos propios como tabletas o teléfonos a sus ambientes corporativos, para facilitar que se puedan conectar equipos no autorizados a la red.

Como resultado de la expansión de los dispositivos móviles, el panorama de amenazas se ha expandido a una velocidad alucinante y muchos equipos tecnológicos experimentan problemas para seguir el ritmo.

Asimismo, se pueden provocar daños serios a la ciberseguridad al entrar en sitios web inseguros o descargar aplicaciones mientras se trabaja.

Aunque las aplicaciones que están disponibles en tiendas oficiales de aplicaciones suelen ser seguras, ha habido ocasiones en las que aplicaciones no legales encuentran su camino a los dispositivos conectados.

Lo mismo ocurre al acceder a sitios web inseguros, ya que los empleados que visitan sitios infectados pueden exponer a robo o corrupción la información almacenada en sus equipos personales o incluso en la red de la compañía.

"Las organizaciones del sector del cuidado de la salud necesitan tomarse el tiempo para capacitar sobre estos riesgos a su fuerza laboral mediante entrenamientos continuos y, al final de esos cursos de entrenamiento, deberían asegurarse de probar regularmente a sus empleados para evaluar su conocimiento, en un esfuerzo para reducir los riesgos en el ambiente de trabajo", concluyó Biddle.

Comentarios