Hace unos dias se dio a conocer una noticia que afectaba a un centro de salud dental y a sus clientes (pacientes). Se trataba de un ataque informático que permitió el robo de información de 151.626 personas mediante un malware instalado en uno de las estaciones de trabajo permitiendo al atacante acceder a la base de datos interna donde se almacenaba la información de los clientes..
El Compliance Manager de la clínica se jacta de haber actuado rapidamente, ya que en otros casos los atacantes podrían estar meses y meses navegando por los datos. Entonces, yo me pregunto.. Los centros de salud chilenos ¿Estan preparados para este tipo de amenazas?

No voy a hablar de normativas ISO, ni cumplimiento de estandares ni nada por el estilo, ya que todos sabemos que la gran mayoría cumple solo en el papel y no en la practica.

En Chile tenemos una gran jungla de centros de salud, clínicas, hospitales, consultas truchas, etc. Todos sabemos que les gusta ganar dinero, construir mega-edificios, gastar mucho dinero en publicidad, sin embargo, podrían hacer un mejor esfuerzo cuando se trata de proteger los datos de sus pacientes.

Hablando en terminos generales, a nivel de aplicaciones web los centros de salud muestran un deficiente nivel de seguridad, exponiendo tanto la integridad como la confidencialidad de la información.
Es muy comun encontrar sitios web que permiten reservar horas, acceder a historial clinico e incluso acceso a examenes. El error que podemos encontrar es bastante comun en la mayoría de estos sistemas web, por ejemplo:

• Reservar una Hora: Muchos sistemas autocompletan la información cuando ingresamos el rut, algunos incluso nos dejan cancelar las horas reservadas o copar toda la agenda a nombre de distintas personas.

• Acceso a Exámenes on-line: Es comun que nos den acceso a un sistema web para poder acceder a examenes, para no tener que hacer la fila y esperar una eternidad, el problema es que no los estan protegiendo debidamente, permitiendo a cualquier persona acceder a dichos documentos.

Si bien @taecilla y @alvaroveliz (no es el cantante) no son expertos en seguridad informatica, ni tienen una eternidad de certificaciones en seguridad, en ese momento solo se encontraban utilizando el sistema como una persona normal cuando se dieron cuenta de estos problemas. Entonces, que pasaría si un atacante con conocimientos para realizar ataques se propone robar los expedientes de los clientes pacientes?

En Secureless se reportó durante bastante tiempo vulnerabilidades que afectaban a centros de salud, las que estuvieron varios meses sin corregir, pudiendo ser explotadas por atacantes de manera fácil y rápida.

La tecnología avanza y cada vez podemos hacer mas cosas de forma remota sin tener que asistir fisicamente a un lugar, sin embargo, no se consideran los riesgos asociados y mucho menos la privacidad de las personas. Explotar una vulnerabilidad para acceder a documentos clínicos de los pacientes de un centro de salud podría compararse con el hecho de ir al lugar donde se hacen entrega de los examenes y pedir una copia de todos. El uso que se le puede dar a esta información es muy amplio, desde la perspectiva de ataques informaticos.

¿De que le sirve a un atacante conocer el historial médico o los resultados de un exámen de una persona?

Para ataques de ingenieria social o de phishing, donde el atacante busca “engañar” al usuario para obtener cierta información, conocer este tipo de antecedentes es bastante util. Por ejemplo, un atacante podría buscar los documentos clínicos de una persona y hacerse pasar por una institución de salud, solicitandole ciertos antecedentes para “completar” su ficha o bien para verificar datos, algo asi:

“Estimado XXXXX, de acuerdo a nuestros registros, usted se realizó un examen medico realizado el día DD-MM-YYYY en el centro de salud NNNNNN. Con el fin de mantener a nuestros pacientes informados, le solicitamos por favor completar su ficha de paciente con los datos faltantes: (link a un formulario) Celular, Direccion, Fecha de Nacimiento, etc etc.”

Un email “personalizado” es mucho mas creíble que uno genérico, por lo tanto las probabilidades de que la víctima complete los datos solicitados es mucho mayor. Tambien el atacante podría hacerse pasar por un doctor….

Indiferente al uso que le podamos dar a esta información, yo creo que ninguno de nosotros está de acuerdo con que nuestra información supuestamente privada sea de acceso público por un error de un sistema informático.

ACTUALIZADO (16/04/2015)

De acuerdo al Artículo 12 de la Ley 20.584, que hace referencia a los Derechos y Deberes de los Pacientes, estos centros médicos tienen la obligación de asegurar la confidencialidad de la información médica, lo que deja a la vista una falta de fiscalización por parte del Ministerio de Salud para velar por el cumplimiento de la ley y protección de los derechos de los pacientes.

  Artículo 12.- La ficha clínica es el instrumento obligatorio en el que se registra el conjunto de antecedentes relativos a las diferentes áreas relacionadas con la salud de las personas, que tiene como finalidad la integración de la información necesaria en el proceso asistencial de cada paciente. Podrá configurarse de manera electrónica, en papel o en cualquier otro soporte, siempre que los registros sean completos y se asegure el oportuno acceso, conservación y confidencialidad de los datos, así como la autenticidad de su contenido y de los cambios efectuados en ella.
Toda la información que surja, tanto de la ficha clínica como de los estudios y demás documentos donde se registren procedimientos y tratamientos a los que fueron sometidas las personas, será considerada como dato sensible, de conformidad con lo dispuesto en la letra g) del artículo 2º de la ley Nº 19.628.

Luego de haber publicado este articulo me comenzaron a llegar varios comentarios de distintas personas quienes han tenido problemas parecidos en centros medicos, por ejemplo @dzamoranob me comentaba que se atendió en un centro médico dental y cuando tuvo que acceder vía web a sus resultados,había información de otros pacientes incluso con radiografias y fotos de sus dientes y tratamientos.