tecnologia tecnologia
sábado 27 de enero de 2018

Ciberdelincuencia: ahora secuestran historias clínicas

En Argentina "nadie regula esta zona tan sensible, como es la información médica de las personas".

Una empresa de ciberseguridad asesoró a cuatro personas reconocidas en Argentina que sufrieron el robo online de sus historias médicas, y una de ellas llegó a pagar 50 mil dólares en criptomonedas para rescatar esa información, reveló a Télam Matías Katz, investigador de crímenes informáticos, en un contexto nacional donde no existe un ente que regule la seguridad de los datos de salud guardados y compartidos por Internet.

"El historial de enfermedades, los procedimientos que se le realizaron y los medicamentos que consume una personas es información personal muy sensible", y cuando los ciberdelincuentes actúan "no hay forma de revertir la situación. La reputación se daña para siempre si se hace pública", dijo el profesional argentino, CEO de Mkit, una empresa global de seguridad informática.

Katz contó que las personas públicas "son las mas afectadas por este delito" y que su compañía "acompañó a cuatro víctimas en Argentina que sufrieron el robo de sus datos médicos. Pagaron cifras importantes en criptomonedas, y una llegó a abonar 50 mil dólares" para recuperar su historia clínica "aunque siempre queda la duda" sobre si el delincuente se quedó con una copia.

"Esto es una realidad. Es imposible detectar quién tiene la información. Entonces la persona paga. Lo que hay que hacer es tomar recaudos para que no pase", señaló el especialista.

El robo online de una información tan sensible "es más simple de lo que se cree. En general entran en juego empleados disconformes o ingenuos", explicó Katz.

"De hecho, uno de los casos que investigamos surgió a partir de un pendrive que a alguien 'se le cayó' en un sanatorio. Un empleado, con buena intención, lo conectó a una computadora para saber de quién era, y así de simple se perpetró el robo de información", relató el profesional.

Un pendrive es un USB que permite almacenar datos y que una vez conectado, hace que el atacante online tenga acceso, no sólo a la computadora sino a a todo el sistema, por ejemplo, de un sanatorio, y como ese centro de salud seguramente trabaja con obras sociales también tendrá acceso a esas fichas médicas.

Esta misma situación se da "sobornando a empleados para que conecten el pendrive o haciendo lo que se conoce como ingeniería social: un supuesto directivo entra en la máquina, autentifica y así el atacante accede al sistema".

Además del robo online del historial médico, los ciberataques en salud también incluyen "hackeos para usar datos de afiliados al servicio de salud para conseguir drogas, o para hacer consultas o tratamientos médicos", añadió el profesional.

En Argentina "nadie regula esta zona tan sensible, como es la información médica de las personas, algo que si se hace en Estados Unidos a través del HIPAA", señaló Katz.

Se trata de la ley de Transferencia y Responsabilidad de Seguro Médico, la Health Insurance Portability and Accountability Act, HIPAA por sus siglas en inglés.

HIPPA, para los centros de salud, estipula entre otras medidas "utilizar protocolos de cifrado para todas las comunicaciones de voz y datos, como así también un método de autenticación de dos factores para el ingreso a los sistemas y, fundamentalmente, no utilizar call center tercerizados ya que se hace mucho más difícil aplicar todos estos controles", explicó a Télam Jerónimo Basaldúa, experto de la empresa de seguridad informática Base4 Security y de Bitsense.

Para Katz, en Argentina "hay, tanto en el sector público como privado de salud, preocupación por estas situaciones. Porque la extorsión de los ciberdelincuentes puede llegar también a entidades, hospitales y hasta ministerios".
"Muchos están invirtiendo en soluciones de seguridad y toman recaudos, pero nunca hay que olvidar el factor humano", resaltó el investigador.
Fuente: Noticias Argentinas

Más Leídas