Alertan por robos de datos médicos en línea: ¿qué hacer si vulneran tu historial digital?
Los datos médicos de instituciones de Salud son un objetivo codiciado por cibercriminales, de acuerdo con expertos de la empresa de ciberseguridad ESET, quienes explican cómo minimizar las consecuencias de una filtración que afecte a los historiales médicos de los usuarios.
Advierten riesgos en la digitalización de historiales médicos
La digitalización de los historiales médicos mejoran los niveles de atención a pacientes, aunque también conlleva riesgos cibernéticos, según dijeron los especialistas de ESET en el portal “Welivesecurity“.
“Una vez que tus datos se almacenan en sistemas informáticos accesibles a través de Internet, pueden filtrarse accidentalmente o por terceros malintencionados, o incluso personas con información privilegiada, pueden acceder a ellos”.
ESET
Cabe destacar que los datos médicos son de la información más sensible que se puede compartir con organizaciones, al grado que el Reglamento General de Protección de Datos de la Unión Europea les otorgó el estatus de “categoría especial“, es decir, que requieren protecciones adicionales.
[TE RECOMENDAMOS: La Cédula Digital del IMSS busca agilizar tus trámites médicos]
México comienza la digitalización de los datos médicos
El Instituto Mexicano del Seguro Social (IMSS) presentó la Cédula Digital de Salud el pasado 20 de noviembre, una herramienta tecnológica que permitirá a los derechohabientes mayores de 18 años acceder a su historial médico desde su teléfono celular o tableta.
Esta cédula digital estará disponible en la app IMSS Digital para sistemas iOS y Android. Una vez autorizada de manera oficial, ofrecerá un acceso rápido y sencillo a la información médica personal de los últimos 12 meses, como:
- Citas médicas en los tres niveles de atención
- Datos de somatometría (peso, talla e índice de masa corporal)
- Medicamentos recetados y resultados de laboratorios
- Incapacidades otorgadas
- Consejos prácticos para mejorar la salud
La herramienta contiene datos personales y sensibles. Por ello, el IMSS requiere enrolamiento biométrico para garantizar que sólo el titular tenga acceso a su información.
Otros sistemas digitales han sufrido vulneraciones
ESET advirtió que ninguna organización es 100% a prueba de filtraciones, pues en los primeros 10 meses de 2023 en Estados Unidos, más de 88 millones de personas vieron expuestos sus datos médicos, según el Departamento de Salud y Servicios Humanos.
Change Healthcare, empresa tecnológica de cuidado de la salud, sufrió una brecha de ransomware en febrero de 2024, según retomó la empresa de ciberseguridad con base en el portal BleepingComputer.
- El ransomware es un programa malicioso que se usa para extorsionar a usuarios y empresas. Este tipo de ataques impide a las víctimas usar sus dispositivos hasta que hayan pagado un rescate, según la empresa mexicana de ciberseguridad TELMEX-Scitum.
El proovedor de servicios sanitarios no sólo experimentó una interrupción operativa, sino que sus atacantes (Black Cat/ALPHV) afirmaron haber robado 6 TB de datos. Change Healthcare habría pagado un supuesto rescate de 22 millones de dólares y el grupo de ransomware habría cerrado.
Por otro lado, la empresa de salud mental Cerebral filtró accidentalmente en internet datos médicos sobre 3.1 millones de personas. La empresa admitió en 2023 que llevaba tres años compartiendo datos de usuarios con subcontratistas, según CNN.
Dichos casos evidencian la importancia de saber qué hacer en caso de que los datos médicos de las personas se vean comprometidos, para minimizar las consecuencias.
¿Cuáles son los datos médicos que usualmente están en riesgo?
Entre los datos médicos que pueden estar en peligro por posibles ataques de cibercirminales se encuentran los siguientes, de acuerdo con ESET:
- Números de póliza de seguro médico, o similares
- Información personal identificable (IPI), como:
- Número de la Seguridad Social
- Dirección postal y de correo electrónico
- Fecha de nacimiento
- Contraseñas de cuentas médicas, financieras y de seguros
- Historial médico, incluidos tratamientos y recetas
- Información sobre facturación y pagos, como:
- Datos sobre tarjetas de crédito y débito
- Cuentas bancarias
Esta información podría ser usada por ciberdelincuentes para cargar facturas en la tarjeta de crédito del usuario, abrir nuevas líneas de crédito, acceder a cuentas bancarias y vaciarlas, o hacerse pasar por la persona para obtener servicios médicos o medicamentos costosos.
“En Estados Unidos, los historiales médicos podrían utilizarse incluso para presentar declaraciones de la renta fraudulentas con el fin de obtener reembolsos”.
ESET
Y si hay información sensible sobre tratamientos o diagnósticos que el usuario preferiría mantener en secreto, podrían incluso intentar chantajearle.
8 pasos a seguir tras una violación de datos médicos
Si se confirma una brecha de datos en una institución o servicio al que una persona asiste como paciente, o incluso personal de salud, es importante mantener la cabeza fría y seguir estos pasos:
1. Comprueba la notificación
El usuario recibirá un mensaje informando sobre incidentes que afecten sus datos por correo electrónico o mensajes de WhatsApp. La primera recomendación es revisar la notificación y revisar los siguientes indicios de comunicación fraudulenta, como:
- Faltas de ortografía y gramaticales
- Pedido urgente de información personal
- Por ejemplo, confirmaciones de datos urgentes
“Observa bien el remitente para chequear con los canales de comunicación legítimos de la institución, y verifica links o archivos que se adjunten”, según los especialistas de ciberseguridad.
2. Averigüa los detalles sobre el incidente
El siguiente paso para reaccionar ante una filtración o robo de datos médicos es conocer la exposición al riesgo del usuario y conocer la siguiente información:
- ¿Qué información se ha visto comprometida exactamente?
- ¿Se trata de una exposición accidental de datos, o han sido terceros malintencionados los que han accedido a ellos y los han robado?
- ¿A qué tipo de información se ha podido acceder?
- ¿Estaba cifrada?
Si la institución o proveedor de servicio no responde adecuadamente a estas preguntas, el usuario debe comunicarse para obtener una respuesta directa.
3. Supervisa tus cuentas
Los actores maliciosos pueden vender los datos médicos de sus víctimas a estafadores o intentar utilizarla ellos mismos, por lo que hay que revisar actividad financiera sospechosa.
“En cualquier caso, vale la pena vigilar cualquier actividad sospechosa, como facturas médicas por servicios que no usaste o notificaciones que indiquen que llegaste a un límite de prestaciones”.
ESET
También se aconseja revisar las transacciones bancarias y con tarjeta. Algunas organizaciones ofrecen supervisión gratuita del crédito, que notifica al usuario cuando se producen cambios en sus informes crediticios y advertir posibles movimientos sospechosos.
4. Informa las actividades sospechosas
Al detectar cualquier actividad sospechosa o error de facturación, se debe informar al proveedor por escrito o notificarlo por correo electrónico o teléfono, u otros medios habilitados.
5. Congela tus informes crediticios y suspende tus tarjetas
En casos de robos de datos médicos, ESET recomienda congelar información crediticia para que no se puedan aprobar créditos a nombre de la víctima. “Al no poder comprobar tus informes, evitarás que los cibercriminales utilicen tu información para sacar créditos fraudulentos“, señalaron los expertos.
Lo mismo se recomienda hacer con tarjetas de crédito, además de inactivarlas o solicitar nuevas emisiones desde la aplicación de la entidad financiera, en caso de existir dicha opción.
6. Cambia tus contraseñas
Si los datos de acceso de una persona se ven comprometidos en una brecha, el proveedor correspondiente debería restablecerlos automáticamente. Pero si no es así, se recomienda hacerlo manualmente para mayor tranquilidad.
“Esto evitará intentos de apropiación de la cuenta, especialmente si mejora su seguridad mediante la autenticación de dos factores“, de acuerdo con ESET.
- La autenticación de dos factores es un método de seguridad de administración de identidad y acceso que requiere dos formas de identificación para acceder a los recursos y los datos, según Microsoft.
[TAMBIÉN LEE: ¿Qué es el phishing, ciberestafa con la que te engañan a través de mensajes y correos?]
7. Mantente alerta
Cuando los estafadores se apoderan de la información personal y médica de una persona, pueden intentar utilizarla en posteriores ataques de phishing por correo electrónico, mensajes de texto o llamadas telefónicas.
El objetivo es utilizar la información robada para añadir legitimidad a las solicitudes de más información personal, como datos financieros. Si alguien intenta extorsionar con la amenaza de revelar datos médicos confidenciales, hay que ponerse en contacto con la policía inmediatamente.
8. Considera la posibilidad de emprender acciones legales
En una vulneración de datos médicos fueron por negligencia del proveedor de asistencia sanitaria, la víctima sería acreedora a una indemnización, dependiendo de la legislación de cada país. “Lo mejor es asesorarse con un experto legal sobre una posible demanda”, señalan los expertos.
¡Alertan por el valor de los datos médicos para delincuentes!
Dado que los historiales médicos pueden alcanzar un precio 20 veces superior al de los datos de las tarjetas de crédito en el mercado clandestino de la ciberdelincuencia, según la cadena CNBC, es poco probable que se deje de atacar a las organizaciones sanitarias en un futuro próximo.
Su capacidad para forzar pagos multimillonarios a través del ransomware convierte al sector en un objetivo aún más atractivo. Por eso es necesario saber exactamente qué hacer para minimizar los daños a la salud mental, la privacidad y las finanzas.
