Esta es la información que los hackers obtienen en los hospitales

Publicado 24/09/2019 7:47:34CET
Una mujer utiliza un ordenador
Una mujer utiliza un ordenador - FLICKR - Archivo

MADRID, 24 Sep. (EUROPA PRESS) -

Cuando los sistemas informáticos de los hospitales son pirateados, el público conoce el número de personas afectadas pero no qué información robaron los cibercriminales. Una nueva investigación de la Universidad Estatal de Michigan y la Universidad Johns Hopkins es la primera en descubrir los datos específicos filtrados a través de las brechas de los hospitales, que afectan a casi 170 millones de personas.

"La historia principal que escuchamos de las víctimas fue cómo la información confidencial y comprometida causó la pérdida financiera o de reputación --explica John (Xuefeng) Jiang, profesor de Sistemas de Información y Contabilidad de la MSU--. Un criminal podría presentar una declaración de impuestos fraudulenta o solicitar una tarjeta de crédito usando el número de seguro social y las fechas de nacimiento filtradas por una violación de datos del hospital".

Hasta ahora, los investigadores no han podido clasificar el tipo o la cantidad de información de salud pública filtrada por infracciones, por lo tanto, nunca se ha conseguido una imagen precisa de amplitud o consecuencias.

Los hallazgos, publicados en la revista 'Annals of Internal Medicine', abarcan 1.461 infracciones que ocurrieron entre octubre de 2009 y julio de 2019.

Jiang y el coautor Ge Bai, profesor asociado de Contabilidad en la Escuela de Negocios Johns Hopkins Carey y la Escuela de Salud Pública Bloomberg, descubrieron que 169 millones de personas han tenido algún tipo de información expuesta debido a los piratas informáticos.

Para descubrir qué información específica se expuso, los investigadores clasificaron los datos en tres categorías: demográficos, como nombres, direcciones de correo electrónico y otros identificadores personales; servicio o información financiera, que incluía la fecha del servicio, el monto de facturación, la información de pago; e información médica, como diagnósticos o tratamiento.

"Además clasificamos los números de seguridad social y de licencia de conducir y las fechas de nacimiento como información demográfica confidencial, y las tarjetas de pago y las cuentas bancarias como información financiera confidencial. Ambos tipos pueden ser explotados por robo de identidad o fraude financiero --señala Jiang--. Dentro de la información médica, clasificamos la información relacionada con el abuso de sustancias, el VIH, las enfermedades de transmisión sexual, la salud mental y el cáncer como información médica confidencial debido a sus importantes implicaciones para la privacidad".

Más del 70% de las infracciones comprometieron datos demográficos o financieros confidenciales que podrían llevar al robo de identidad o al fraude financiero. Más de 20 infracciones comprometieron información confidencial de salud, que afectó a 2 millones de personas.

"Sin entender lo que el enemigo quiere, no podemos ganar la batalla
--reconoce Bai--. Al conocer la información específica que buscan los piratas informáticos, podemos aumentar los esfuerzos para proteger la información del paciente".

Con una nueva comprensión de qué datos explícitos se filtraron, y cuántos en la última década se vieron afectados, los investigadores ofrecen a los hospitales y proveedores de servicios de salud sugerencias sobre cómo proteger mejor la información confidencial de los pacientes.

Así, sugieren que el Departamento de Salud y otros reguladores recopilen formalmente los tipos de información comprometida en una violación de datos para ayudar al público a evaluar los posibles daños.

Los hospitales y otros proveedores de atención médica, apunta Jiang, podrían reducir efectivamente los riesgos de violación de datos al centrarse en asegurar la información si tienen recursos limitados.

Jiang señala que el Departamento de Salud y Servicios Humanos y el Congreso propusieron recientemente reglas que fomentan un mayor intercambio de datos, lo que aumenta el riesgo de violaciones.