His­to­rias clínicas ex­pues­tas a los hac­kers

La fal­ta de exi­gen­cias de ci­ber­se­gu­ri­dad en ma­te­ria de his­to­ria clí­ni­ca elec­tró­ni­ca de­ja a los usua­rios a mer­ced de que ata­ques in­for­má­ti­cos re­ve­len sus da­tos

El Observador Fin de Semana - - Portada - GUI­LLER­MO LO­SA twit­ter.com/Gui­lleLo­sa

La in­for­ma­ción de la his­to­ria clí­ni­ca es con­si­de­ra­da por ley co­mo un da­to sen­si­ble, cu­yo res­guar­do es res­pon­sa­bi­li­dad de los cen­tros de sa­lud. Sin em­bar­go, des­de su apar­ta­men­to de la ave­ni­da Uru­guay, un ex­per­to en se­gu­ri­dad in­for­má­ti­ca des­em­plea­do no so­lo lo­gró ac­ce­der a to­dos los re­gis­tros de la mu­tua­lis­ta Círcu­lo Ca­tó­li­co, sino que ade­más ame­na­zó con fil­trar­los ma­si­va­men­te si no se le de­po­si­ta­ba una su­ma de di­ne­ro ( ver no­ta apar­te).

El hac­ker di­jo que ha­bía de­tec­ta­do la vul­ne­ra­bi­li­dad del sis­te­ma de esa ins­ti­tu­ción ha­cía dos años, y aun­que lo ha­bía re­por­ta­do an­te el Cen­tro de Res­pues­ta de In­ci­den­tes de Se­gu­ri­dad In­for­má­ti­ca del Uru­guay (CERTuy), la fa­lla con­ti­nua­ba ahí. Se­gún de­cla­ró an­te el juz­ga­do pe­nal de 11º turno, a car­go de la jue­za Ana De Sal­te­rain, el pro­ble­ma con­sis­tía en que el sis­te­ma “ca­re­cía de con­tro­les” que evi­ta­ran que un usua­rio de esa mu­tua­lis­ta pu­die­ra ac­ce­der a la his­to­ria clí­ni­ca de otros pa­cien­tes.

El hac­ker, que fue pro­ce­sa­do con pri­sión co­mo au­tor res­pon­sa­ble de un de­li­to de co­no­ci­mien­to frau­du­len­to de do­cu­men­tos se­cre­tos, en con­cu­rren­cia con un de­li­to de ex­tor­sión en gra­do de

“Los or­ga­nis­mos y em­pre­sas no es­tán pre­pa­ra­dos pa­ra de­fen­der­se proac­ti­va­men­te” Gus­ta­vo Be­tar­te TILSOR

“No hay re­gu­la­cio­nes que es­ta­blez­can las ba­ses pa­ra la se­gu­ri­dad de los re­gis­tros mé­di­cos” Leo­nar­do Be­rro

DI­REC­TOR DE SECURITY ADVISOR

ten­ta­ti­va, ha­bía re­por­ta­do an­te­rior­men­te vul­ne­ra­bi­li­dad en el Hos­pi­tal Evan­gé­li­co y en el Banco de Se­gu­ros del Es­ta­do, que per­mi­tía que per­so­nas no au­to­ri­za­das ac­ce­die­ran a da­tos sen­si­bles, de­cla­ró an­te la Jus­ti­cia, se­gún sur­ge del ex­pe­dien­te al que ac­ce­dió El Ob­ser­va­dor.

La jue­za le pre­gun­tó al re­pre­sen­tan­te del Círcu­lo Ca­tó­li­co si “el ser­vi­cio de in­for­ma­ción de se­gu­ri­dad in­for­má­ti­ca (...) era un ser­vi­cio esen­cial o no”. An­te su res­pues­ta ne­ga­ti­va, la ma­gis­tra­da le con­sul­tó si es que “da­da la in­for­ma­ción guar­da­da en for­ma elec­tró­ni­ca y lo sen­si­ble de es­ta”, no creía que “es­te ti­po de ser­vi­cio de se­gu­ri­dad in­for­má­ti­co es po­si­ti­vo pa­ra la mu­tua­lis­ta”. “Creo que sí, que a raíz de es­te even­to nos he­mos da­do cuen­ta que sí”, res­pon­dió el re­pre­sen­tan­te de la ins­ti­tu­ción.

El ca­so de­jó en evi­den­cia la vul­ne­ra­bi­li­dad de la his­to­ria clí­ni­ca elec­tró­ni­ca y la fal­ta de pre­pa­ra­ción de las mu­tua­lis­tas en ma­te­ria de ci­ber­se­gu­ri­dad. El Mi­nis­te­rio de Sa­lud Pú­bli­ca (MSP) es­pe­ra que la his­to­ria elec­tró­ni­ca lle­gue a to­dos los usua­rios del sis­te­ma de sa­lud a par­tir de 2018.

Sin con­trol de ca­li­dad

Las em­pre­sas de sa­lud, co­mo to­das aque­llas que ma­ne­jan da­tos sen­si­bles, es­tán obli­ga­das a “adop­tar las me­di­das que re­sul­ta­ren ne­ce­sa­rias pa­ra ga­ran­ti­zar la se­gu­ri­dad y con­fi­den­cia­li­dad

de los da­tos per­so­na­les” por la ley 18.331 Pro­tec­ción de Da­tos Per­so­na­les y Ac­ción de “Ha­beas Da­ta”. Sin em­bar­go, el Es­ta­do uruguayo no rea­li­za con­tro­les pa­ra de­ter­mi­nar cuán res­guar­da­das es­tán esas ba­ses de da­tos.

El di­rec­tor re­gio­nal de la em­pre­sa de ci­ber­se­gu­ri­dad Security Advisor, Leo­nar­do Be­rro, di­jo a El Ob­ser­va­dor que mien­tras que en Es­ta­dos Uni­dos –uno de los paí­ses más desa­rro­lla­dos en la ma­te­ria– el go­bierno po­ne exi­gen­cias y cer­ti­fi­ca el ni­vel de los sis­te­mas de se­gu­ri­dad de las his­to­rias clínicas, en Uru­guay, eso que­da en ma­nos de las de­ci­sio­nes de los di­rec­to­res de los cen­tros de sa­lud.

“( Por par­te de las em­pre­sas de sa­lud) no hay con­cien­cia, o el ni­vel de con­cien­cia es li­mi­ta­do, y no hay re­gu­la­cio­nes que es­ta­blez­can las ba­ses pa­ra la se­gu­ri­dad de los re­gis­tros mé­di­cos”, apun­tó Be­rro.

En el mis­mo sen­ti­do, el di­rec­tor de con­sul­to­ría de Tilsor, Gus­ta­vo Be­tar­te, di­jo que de­bi­do a que “en Uru­guay las or­ga­ni­za­cio­nes no han es­ta­do fuer­te­men­te ba­jo ata­que, no hay una con­cien­cia ge­ne­ra­li­za­da”. “Los or­ga­nis­mos y em­pre­sas no es­tán pre­pa­ra­das pa­ra de­fen­der­se proac­ti­va­men­te (...) La ma­yo­ría de nues­tros clien­tes nos con­tac­ta­ron des­pués de ha­ber re­ci­bi­do un ata­que”, di­jo el es­pe­cia­lis­ta. Uno de los úl­ti­mos clien­tes que se agre­gó a la lis­ta, se­gún se ex­trae del ex­pe­dien­te ju­di­cial, fue el Círcu­lo Ca­tó­li­co.

Con el ob­je­ti­vo de co­no­cer el es­ta­do de si­tua­ción del sis­te­ma de sa­lud en ma­te­ria de ci­ber­se­gu­ri­dad, la Agen­cia del Go­bierno Elec­tró­ni­co (Age­sic) rea­li­za­rá es­te año una se­rie de au­di­to­rías, y lue­go ela­bo­ra­rá re­co­men­da­cio­nes a las ins­ti­tu­cio­nes, di­jo a El Ob­ser­va­dor el di­rec­tor de ci­ber­se­gu­ri­dad de Age­sic, San­tia­go Paz.

Pa­ra el di­rec­tor de ci­ber­se­gu­ri­dad Security Advisor, el ni­vel de ries­go de que em­pre­sas de sa­lud sean afec­ta­das por hac­kers “es al­to”, por­que tie­nen “in­for­ma­ción sen­si­ble” que pue­de ser se­cues­tra­da pa­ra pe­dir un res­ca­te. Ade­más, po­dría mo­di­fi­car al­gún re­gis­tro, y, por ejem­plo, eli­mi­nar de una his­to­ria mé­di­ca que de­ter­mi­na­do pa­cien­te es alér­gi­co a un me­di­ca­men­to, con las con­se­cuen­cias que eso po­dría te­ner pa­ra su sa­lud.

Se­gún re­por­tó Age­sic, en 2016, el CertUy fue in­for­ma­do de 768 in­ci­den­tes de se­gu­ri­dad in­for­má­ti­ca, 33% más que en 2015. De ese to­tal, 15 fue­ron ca­ta­lo­ga­dos co­mo de gra­ve­dad “al­ta” y seis co­mo “muy al­ta”. La ma­yor can­ti­dad de re­gis­tros, se­gún in­for­mó el or­ga­nis­mo, se de­be a la cre­cien­te “ten­den­cia mun­dial de ata­ques y frau­des ci­ber­né­ti­cos”. •

Newspapers in Spanish

Newspapers from Uruguay

© PressReader. All rights reserved.