Especialistas locales advierten desafíos en la materia
– Un reciente informe del BID alerta que desde 2019 a la fecha las plataformas sanitarias son las más vulnerables en el mundo a delitos digitales graves, y que, en promedio, pueden demorar 359 días en ser pesquisados.
– Expertos nacionales advierten que las consecuencias más extremas van desde eventuales perjuicios a la seguridad de los pacientes, el robo de datos y la interrupción del servicio, hasta el cobro de rescates por liberar información privada y altamente sensible.
– Para incentivar una mejora en las condiciones de seguridad de las plataformas, el Centro Nacional en Sistemas de Información en Salud impulsó el primer sello de calidad en Chile, que evalúa las potenciales vulnerabilidades en las instituciones del sector.
Los sistemas de información en salud son los más vulnerables a delitos informáticos graves a nivel mundial desde 2019 a la fecha y los potenciales ataques pueden tardar hasta un año en detectarse, según ha alertado un informe del Banco Interamericano de Desarrollo (BID).
En ese contexto, expertos locales advierten que el robo de información sensible y la interrupción a la continuidad del servicio en los establecimientos surgen como las principales amenazas de este tipo de incidentes.
Para prevenir el creciente riesgo de la seguridad de los sistemas informáticos en salud local, el Centro Nacional en Sistemas de Información en Salud (CENS) lanzó recientemente un protocolo para evaluar la calidad de las plataformas de salud digital, con foco, entre otros aspectos, en la seguridad.
Y es que, aunque las vulnerabilidades de los sistemas informáticos son un riesgo transversal a todas las actividades económicas, en el ámbito sanitario las consecuencias van desde poner en riesgo la vida de las personas hasta la vulneración de sus derechos fundamentales.
“Cada vez la probabilidad es más alta y se debe estar permanentemente analizando, conociendo los nuevos mecanismos se están utilizando para vulnerar los sistemas. Es algo tremendamente dinámico y donde las empresas tienen una gran responsabilidad preventiva”, dijo la Dra. May Chomali, directora ejecutiva del centro apoyado por la Agencia Nacional de Investigación y Desarrollo (ANID) y cinco universidades locales.
“¿Cuál es el rol del paciente en este contexto? Es bastante menor, salvo que tenga la posibilidad de exigir que los sistemas con los cuales reciba la atención tengan alguna certificación correspondiente, y que esto permita reducir el riesgo. Es parte de sus derechos poder atenderse con el uso de sistemas de información que cuenten con políticas de ciberseguridad, aunque en este momento, no hay cómo saber si los datos están protegidos”.
La ciberseguridad es un tema en boga a nivel mundial y también en Chile. En los últimos días, un reporte de la consultora EY alertó que más de la mitad de las organizaciones del país han sufrido algún tipo de ataque cibernético, y que estos tardan en promedio seis meses en detectarse. Es decir, menos de la mitad de lo que toman en los sistemas de salud.
La regulación ha tenido importantes avances durante 2022 y 2023, en línea con las cada vez más permanentes amenazas del cibercrimen. En junio del año pasado se promulgó la ley 21.459, que tipifica los delitos informáticos y actualiza la normativa chilena en la materia y las adecúa al denominado Convenio de Budapest (del que el país es firmante).
El Convenio de Budapest es un acuerdo internacional para combatir el crimen organizado transnacional, específicamente los delitos informáticos, cuyo objetivo es establecer una legislación penal y procedimientos comunes entre sus Estados Partes.
Entre otros, 31 países europeos y Estados Unidos han adherido al protocolo, cuyos objetivos apuntan a la creación de nuevos mecanismos de cooperación transnacional frente a los delitos cibernéticos.
“Tenemos que ser capaces de prever las amenazas y gestionar un cambio en nuestro comportamiento”, señaló Félix Liberona, subdirector del CENS y quien participó recientemente en el primer encuentro de ciberseguridad en salud, organizado por la Universidad Andrés Bello. “No basta con informar a las personas de los riesgos asociados, debemos entregarles mecanismos para tener un comportamiento más seguro y motivarlos a generar un cambio en sus acciones (por convencimiento o por norma). Así tendremos sistemas más seguros”.
De acuerdo a un informe del BID, desde 2019 a la fecha, el sector salud fue uno de los más atacados por los hackers en 2019. También se observa que es foco de algunos de los perjuicios más dañinos. El 80 por ciento de la información que se compromete es de carácter personal y, finalmente, el sistema sanitario es el que más tiempo se tarda en detectar una posible vulneración: en promedio, 329 días.
“Dado que el sector se demora tanto y que los datos robados son personales, son entidades muy vulnerables, por tener información rica y tardar mucho en notar la intrusión en sus sistemas”, añadió Liberona.
Amenazas al sistema sanitario
En febrero de este año, Fonasa anunció haber sido objeto de un incidente informático en parte de su infraestructura. “Los daños ocasionados a sus sistemas son menores, han generado algunas interrupciones en el funcionamiento de su sitio web principal, y demoras en la atención de sus sucursales, pero éstos están siendo recuperados por los equipos técnicos responsables”, explicó el organismo.
Cristian Donaire, gerente de seguridad de la información de Red Salud, señaló que el robo de información sensible y las fallas que interrumpen las operaciones de los establecimientos surgen como algunas de las principales amenazas para los sistemas sanitarios. Incluso, en los casos más extremos, causando daños a la integridad física de los pacientes, como ocurrió hace algunos meses con la vulneración de un hospital en Argentina.
“El responsable de estos ataques dejó de ser un hacker que trabaja solo. Hablamos de grupos internacionales, con altas capacidades y que trabajan desde distintos países, donde las leyes de seguridad son débiles y las penas son bajas. El robo de datos sensibles de los pacientes, sumado a la posibilidad de detener la operación y la continuidad del negocio, siguen siendo los mayores riesgos”, dijo el especialista.
Las amenazas también se han multiplicado en otros países de América Latina.
En Colombia, en septiembre de este año, tuvo lugar el que probablemente ha sido el ataque cibernético de mayor impacto, con varias páginas web de organismo públicos, entre ellas el Ministerio de Salud y otras agencias sanitarias, afectadas. El Gobierno de ese país reconoció que el incidente puso en manos de delincuentes la información de millones de personas.
Gastón Márquez, académico de la Universidad del Biobío y colaborador de CENS en el proceso de diseño de un sello para registro clínico, explicó que, a nivel local, el robo de datos financieros para suplantar identidades sigue siendo un foco de interés para los grupos del cibercrimen. A diferencia de industrias como la financiera, el sector salud tiene aún un largo camino para fortalecer sus controles, según el especialista.
“A nivel local hay un cierto nivel de fuga de información, la que es ocupada para distintos fines: estafas, suplantación de identidad, robo de información financiera, entre otras cosas. Entonces, como en Chile están los datos protegidos por ley, es muy tentador capturar esos datos y utilizarlos para fines de malversación. En resumen, y no solo ocurre en salud, robar datos para utilizarlos con múltiples objetivos”, señaló el investigador de la UBB
La principal novedad regulatoria en Chile en este ámbito ha sido el avance del proyecto de ley marco de ciberseguridad, una normativa ingresada a fines del Gobierno del Presidente Sebastián Piñera. Esta no solo busca promover la prevención y la gestión de riesgo, sino que tiene como hito más relevante la creación de la Agencia Nacional de Ciberseguridad.
También con el propósito de aportar a la mitigación de riesgos, CENS lanzó a mediados de este año el primer sello para evaluar la calidad de los registros clínicos electrónicos en Chile. La iniciativa busca fortalecer aspectos de usabilidad, que promuevan su expansión en el ecosistema local, y también de seguridad, en un contexto de crecientes amenazas informáticas para las y los usuarios.
Formas de mitigar impactos
Uno de los mayores eventos de ciberataque a la salud en el mundo tuvo lugar en Reino Unidos, en el contexto de un incidente a nivel global conocido como “WannaCry” (un ransomware surgido en mayo de 2017 para Microsoft Windows que afectó a unas 230.000 computadoras en más de 150 países, incluyendo servicios críticos de salud). El fraude permitiría infiltrar los archivos de la víctima, retenerlos y pedir un rescate en Bitcoin bajo la promesa de liberarlos.
El ataque interrumpió los servicios en un tercio de los hospitales y en alrededor del 8% de las consultas de medicina general, lo que tuvo un impacto de unas 19.000 citas canceladas. Se calcula que tuvo un costo de 19 millones de libras por causa de la cancelación de citas y de 73 millones de libras que tuvieron que ser invertidos en los meses siguientes en el soporte o en consultores para restaurar datos y sistemas afectados por el ataque.
Cristian Donaire comenta que a nivel mundial hay tres tipos de atacantes en el ámbito de la ciberseguridad en la salud, según acreditan diversos estudios. El primero, el que gestiona sus delitos con el cobro de bitcoins, lo que lo vuelve indetectable e impone enormes barreras para rastrear el dinero. El segundo el que utiliza la información sensible de los pacientes para extorsionarlos. Y el tercer, un perfil más tradicional de hacker, el que lo hace por fama.
Márquez complementa que a través del sello de calidad, desde CENS apuestan por promover una cultura de protección de la información de los pacientes, tanto desde la perspectiva del software como del hardware. “Los principales ejes en los que nos enfocamos son en la confidencialidad, integridad y disponibilidad de los datos. En otras palabras, cuán protegidos están los datos, qué tan precisos son y la tasa de accesibilidad y fallos”, puntualizó el académico vinculado a CENS.
Chile se encuentra entre los países latinoamericanos con mayor adopción de registros electrónicos en salud, con más de un 70% en el sistema público y más del 85% en el privado. Estas plataformas son un componente esencial de la transformación del sector, al almacenar en formato digital miles de datos de los usuarios, contribuyendo a consolidar historiales médicos más precisos para una mejor toma de decisiones por parte de los equipos clínicos (Por: Luis Francisco Sandoval. Agencia Inés Llambías Comunicaciones).
Equipo Prensa
Portal Prensa Salud
