La información médica es el producto más cotizado y preciado en el mercado negro de datos. Esto ha generado un fenómeno de cibercrímenes que amenaza la seguridad de los pacientes y la de la información de salud en línea.
De hecho, van dos incidentes en Estados Unidos que ponen de relieve la magnitud de un problema que, de acuerdo a expertos en seguridad informática, apenas comienza.
Este mes, la aseguradora de salud Premera Blue Cross fue víctima del que se considera el mayor ciberataque de información médica a la fecha, con el potencial de haber expuesto datos clínicos, números de cuentas bancarias, datos personales y números de Seguro Social de 11 millones de personas.
En febrero, la segunda aseguradora de salud más grande de Estados Unidos, Anthem, fue víctima de otro ataque informático que comprometió información personal y médica de al menos 80 millones de sus empleados y clientes, que va desde nombres y apellidos, correo electrónico y fechas de nacimiento, hasta números del Seguro Social y datos de ingresos.
La posibilidad de tener acceso a información de identificación personal como el número de Seguro Social, que ofrece un perfil aún más completo de una persona, aunado a la información financiera, hace al sector del cuidado de la salud especialmente interesante para los delincuentes informáticos.
Y es que mientras se puede cancelar una tarjeta de crédito que ha sido robada, por ejemplo, poco o nada se puede hacer ante el robo de un registro médico que incluya el número de Seguro Social e información sobre la salud de una persona.
De acuerdo con MIT Technology Review, estos datos se pueden vender por cientos de dólares a clientes del mercado negro que quieran hacerse pasar por alguien con el propósito de acceder a cuentas bancarias o recetas de medicamentos, lo que, de hecho, puede poner en riesgo la salud de la víctima.
“En teoría podrías terminar en una situación de emergencia, y si tus registros están contaminados por la información de alguien más eso podría causar serios problemas, como que los profesionales de la salud crean que tienes un tipo de sangre diferente”, dijo a The Atlantic Deborah Peel, directora ejecutiva de Patient Privacy Rights.
Tener acceso a la información del tratamiento de un padecimiento físico o mental de una persona significa que la misma podría hacerse pública y no existe forma de hacer que los datos sean privados de nuevo, reportó el diario estadounidense mencionado.
Por otro lado, la industria de la salud desconoce sobre medidas sofisticadas de seguridad informática, a diferencia de los blancos de ataque más comunes de los piratas informáticos, como los bancos, que han agarrado “callo” en la materia con el paso del tiempo.
Greg Kazmierczak, director de tecnología de la compañía de seguridad informática Wave Systems Corporation, dijo a The Atlantic que las “defensas avanzadas de seguridad cibernética son todavía una idea relativamente nueva para muchas organizaciones de salud. Los grandes bancos y las grandes firmas financieras, por otro lado, se han ocupado de estos temas internamente y en el ojo público durante la última década (…) con las violaciones a gran escala de JP Morgan y Bank of America”.
Ciberdelincuencia en ascenso
Este mes se publicó un reporte realizado por Intel Security, en colaboración con Atlantic Council, que reveló que alrededor de 44 por ciento de todas las violaciones de datos registradas en 2013 fueron dirigidas a las compañías médicas. Entre 2013 y 2014, esta cifra aumentó a 60 por ciento.