Un grupo de hackers chinos, presuntamente, robó la información personal de más de 4.5 millones de pacientes, a través de dispositivos médicos conectados utilizados en los sistemas de salud de Community Health Systems (CHS). Los expertos advirtieron de que esta fuga de datos es una muestra de los riesgos que tiene la ausencia de un sistema de seguridad eficiente que proteja los dispositivos en los hospitales.
¿Te acuerdas de Heartbleed?
Una vulnerabilidad muy grave en OpenSSL, conocida como Heartbleed, fue descubierta a principios de este año. Afectó al mismo tiempo a más de un 60% de Internet y teóricamente, daba a los hackers la posibilidad de robar una cantidad determinada de información durante las conexiones cliente-servidor. Éste podría ser el primer caso de impacto internacional en el que los criminales explotan una vulnerabilidad de gran envergadura para obtener un beneficio personal. En concreto, los hackers desarrollaron un exploit que les permitió usar Heartbleed para robar los datos de acceso a CHS.
¿Quiénes se han visto afectados por el ataque? ¿Cómo ocurrió?
En concreto, este ataque hizo pública la información personal (ni médica, ni financiera) de 4,5 millones de pacientes que fueron atendidos por médicos afiliados a CHS durante los últimos cinco años. Aunque entre los datos robados no se encuentra el historial médico de los clientes, si están los números de la seguridad social, lo cual es bastante grave. Además, los hackers se hicieron con los nombres, direcciones, teléfonos y fechas de nacimiento de los pacientes.
La buena noticia en este caso, es que los hackers eran actores de una APT (Amenaza Avanzada Persistente) y probablemente no pretendían robarlos datos de la seguridad social. De hecho, varios expertos en seguridad de Crowdstrike aseguran que los hackers iban detrás de la propiedad intelectual almacenada en los dispositivos médicos que se utilizaba para prestar servicios a la tercera edad en China. En este sentido, el ataque “APT 18” (también conocida como “Dynamite Panda”) no tuvo los resultados esperados. Dicho esto, resulta difícil imaginar qué harán los criminales con toda la información que robaron.
Un problema de gran magnitud
El robo de información en los sistemas médicos es un problema que atañe desde hace años y, lamentablemente, no parece que se vaya a encontrar una solución a corto plazo. ¿Por qué?
Cuando hablamos de seguridad en dispositivos médicos, tendemos a hablar en términos un poco extremistas (historias de bombas de insulina y marcapasos hackeados remotamente o asesinos que matan o mutilan con ordenadores). La probabilidad de que un paciente tratado con dispositivos médicos conectados sea asesinado por un ordenador portátil es prácticamente inexistente (como aprendí en la reciente conferencia Black Hat). De hecho, el experto en seguridad Jay Radcliffe, dijo que estos dispositivos médicos conectados hacen más bien que mal.
El problema, por el momento, parece ser más bien sistémico. Está relacionado con la forma en que los médicos, hospitales y dispositivos médicos almacenan y comparten datos/información. Como se señaló en una conversación con Radcliffe, la situación más probable en la que la seguridad personal de un paciente puede verse en peligro, como consecuencia de un dispositivo médico conectado, sería si el paciente recibe un tratamiento equivocado debido a que su historial médico fue manipulado (ya sea a raíz de un ataque o por accidente).
En una entrevista para NPR Fresh Air, el cardiólogo Sandeep Jauhar, explicó que el sistema sanitario estadounidense está muy por detrás al de otros países del mundo, debido en gran medida a la falta de intercambio de información del país. Según el doctor Jauhar, para mejorar el sistema sanitario de EEUU (y cumplir con la Ley de Asistencia Asequible), es necesario mejorar la comunicación entre los proveedores y la capacidad de conectividad de los dispositivos médicos, el acceso remoto a los datos y probablemente, mejorar el acceso al historial médico confidencial. Y esto solo en EE.UU. Las declaraciones de Jauhar implican que este tipo de intercambio de datos ya está teniendo lugar en países con sistemas sanitarios más avanzados, lo cual aumenta el riesgo de sufrir un ataque de este tipo.
Esto no quiere decir que todo está perdido. La ley de “Portabilidad” y Responsabilidad de Seguros Médicos (HIPAA) está diseñada en parte para proteger la seguridad y la privacidad de la información clínica del paciente. Los hospitales y los fabricantes de los dispositivos tienen normas que están obligados a cumplir, para cumplir con lo que dicta la HIPAA. Por desgracia, el robo de datos es casi inevitable y ningún plan de seguridad es perfecto. Todo el mundo – independientemente de lo mucho que se esfuerce – podría ser víctima alguna vez.
Como consecuencia del robo a CHS, se hicieron públicos los números de la seguridad social de 4,5 millones de pacientes
Tweet