Las instituciones de salud como hospitales, clínicas y laboratorios se han convertido en un blanco atractivo para los cibercriminales, porque manejan información personal, financiera y médica de sus pacientes y personal. En estos ataques entra en juego información básica junto con las dependencias a medicamentos, las necesidades de determinados tratamientos o prácticas especializadas y otros componentes que hacen a las personas. Los siguiente son datos del 2015:
- En enero, se filtraron los datos de 11 millones de clientes de la aseguradoraPremera de USA, a raíz de un ataque de malware.
- En febrero, la compañía de seguro médico estadounidense Anthem notificó a sus clientes que había sido víctima de un ciberataque avanzado que afectó a todos los usuarios y empleados, alrededor de 80 millones resultaron afectados por el ataque. Las perdidas económicas podrían superar los US$100 millones, según varios reportes.
Las fugas de datos intencionales o el uso irresponsable de la tecnología en el trabajo son prácticas frecuentes, si consideramos, por ejemplo, la cantidad de doctores y enfermeras que comparten registros y estudios de pacientes por WhatsApp y SMS, lo cual podría exponerlos si no se toman los controles necesarios.
- Se entrevistó a 2.107 doctores y 4.069 enfermeras en cinco hospitales del Reino Unido, y el 92,6% de los doctores y el 53,2% de las enfermeras dijo que para enviarse información clínica relacionada a los pacientes entre colegas, se mensajean a través de SMS, apps (como WhatsApp) y fotografías (con las cámaras de sus teléfonos).
Por otro lado, equipamiento médico vulnerable como los 300 dispositivos quirúrgicos que permitían un cambio remoto en su configuración, o la reciente noticia de que un hospital fue víctima de malware en sus computadoras con el obsoleto Windows XP, dan cuenta de que aún no se toma dimensión de lo importante que es proteger la información en instituciones de salud.
Es posible que algunas organizaciones aún sientan que son demasiado pequeñas o poco importantes, pero son más las que consideran que su seguridad es solo cuestión de “tachar de una lista los requisitos a cumplir”. Ellos suponen que si siguen una lista arbitraria de procedimientos y protocolos de seguridad, estarán bien. Pero en realidad, no es así.