El ataque informático a centros sanitarios y aseguradoras médicas y el acceso a datos médicos y personales

Todas las personas que navegamos habitualmente por Internet hemos oído hablar sobre la palabra “hacking” o “phishing” como términos relacionados con el “pirateo informático”. Aunque mucha gente piensa que todos los hackers son malos, en verdad no es así y cabría hacer la diferenciación entre el término ciberdelincuente y hacker; pero esto se podrá tratar en otro artículo.

La intención de los autores con la presente publicación es recoger una serie de noticias y ejemplos, para dar paso en una segunda fase de artículos relacionados con la seguridad informática en los sistemas sanitarios.

La mayoría de las noticias recogidas no lo son en la prensa española, pero no por ello dejan de ser reveladoras de la evolución y la incidencia de la informática en el sector sanitario, en la que cada día intervienen más elementos relacionados con la informática (hardware, software) tanto para la gestión de datos, como en el tratamiento de los pacientes.

 1.-  La primera noticia que referimos fue publicada en la edición digital del mes de febrero de 2015 por la revista mensual estadounidense WIRED  bajo el título “The Root of the Problem: How to Prevent Security Breaches“, cuyo autor es Tim Cannon, vicepresidente de gestión de productos y marketing de HealthITJobs.com

 Síntesis de la noticia:

Anthem, una de las mayores compañías de seguros de EE.UU sufrió un ciberataque por el cual le robaron datos a más de 80 millones de sus clientes de seguros privados de sanidad (http://www.wsj.com/articles/health-insurer-anthem-hit-by-hackers-1423103720). La empresa, en su defensa, manifestó que no tenía constancia de que se hayan obtenido datos médicos o financieros de esos clientes.

 2.-  La segunda noticia, y relacionada con la anterior, también fue publicada en la edición digital del mes de febrero de 2015 por la revista mensual estadounidense WIRED  bajo el título “Health Insurer Anthem Is Hacked, Exposing Millions of Patients’ Data“, la cual amplia la anterior profundizando al facilitar más datos de la acción de intromisión en las bases de datos de Anthem, y así el hecho de que tanto los datos de la seguridad social como la fecha de nacimiento de sus clientes no estaban encriptados.  Este caso se podría contabilizar como cualquier otro caso de ciberataque a una gran empresa en EEUU, pero es noticia porque indica que estas empresas también son objeto de ataques por parte de ciberdelicuentes.

Esta tendencia se debe posiblemente a dos factores:

• La gran cantidad de información privada (y por tanto valiosa por parte de terceros), que estas compañías guardan en sus bases de datos.
• El hecho de que no apliquen los últimos sistemas de seguridad, tanto en software como en hardware, para poder evitar, dentro de lo posible, estos ataques.

Estos hechos no sólo han afectado a Anthem, sino también a otras compañías tanto aseguradoras como relacionadas con el sector sanitario, y así Premera Blue Cross, hecho que fue recogido igualmente en la revista WIRED en su edición digital del 17 de marzo de 2015, y cuyo autor es Kim Zetter, bajo el título: “Hackers May Have Taken Medical Records From Insurer Premera“

Si en el anterior caso el ataque se limitó básicamente a recabar los datos de la seguridad social y cuentas de correo electrónico; en el caso que afectó a Premera Blue Cross los ciberdelincuentes accedieron a:

• Fechas de nacimiento.
• Cuentas bancarias.
• Números de la seguridad social.
• Registros de reclamaciones.

Pero lo más grave es que tuvieron acceso a la información sanitaria privada de sus clientes, hecho que comporta la posibilidad de extorsionar a los clientes de la entidad aseguradora.

En la web de Premera Blue Cross  está publicado a día de hoy (24/08/2015) un comunicado de la empresa, en el cual el CEO (managing director) de la compañía en el que explica lo sucedido (“Attackers gained unauthorized access to our IT systems and may have accessed the personal information of our members, employees and other people we do business with.)

Por último cabe decir que el inicio de robo de información no sólo se concreta a un solo día, sino que los ciberdelincuentes accedieron a los sistemas de la compañía desde el 5 de mayo del 2014 hasta el 29 de enero del 2015, fecha en la que Anthem tuvo conocimiento de que estaba sufriendo un ciberataque, por lo que al hecho concreto del acceso a los datos se une el hecho de la falta de control puesto que eras desconocedores e ignoraban que estaban sufriendo un ciberataque durante tan largo período de tiempo.

Esperamos que estas dos noticias ayuden a entender que a veces las compañías de seguros pueden sufrir robos de sus bases de datos, y ello puede llegar a tener consecuencias tanto para su empresa, pero sobretodo para sus clientes.

Las empresas de seguros de EEUU, mediante un aviso por parte de FBI, ya han estado aplicando nuevas técnicas de seguridad para mejorar la privacidad de sus bases de datos. Pero parece que en un futuro este tipo de noticias pueden llegar a ser cada vez más frecuentes, y por tanto las aseguradoras tendrán que mejorar su infraestructura en seguridad informática para afrontar los retos del futuro.

Fuente: Belt