La inquietante realidad de los ciberataques a nuestra información de salud

Los consultorios y hospitales deberían ser lugares seguros donde acudimos cuando estamos enfermos. Les confiamos toda nuestra información privada y delicada.

La industria de la salud tiene mucha información sobre nuestra salud individual, lo que la convierte en un blanco para robos de datos. Nuevas estadísticas son preocupantes: más del 25% de los estadounidenses han tenido su información de salud expuesta, afectando a 87 millones de pacientes. Lo más alarmante es que, en la primera mitad de 2023, el 77% de estos robos ocurrieron a través de ataques a servidores de red.

Las industrias de atención médica son vulnerables porque revelan información valiosa y lucrativa. En las violaciones de datos de salud, el riesgo financiero para las agencias de salud es alto. El robo de un solo registro cuesta a estas agencias $355?en promedio. Esto es mucho más que el promedio de $158 que suele costarle a otras agencias que no pertenecen a la industria de la salud.

¿Qué motiva a estos ciberataques? Los “hackers” buscan nuestra Información de Salud Protegida (PHI por sus siglas en inglés), como nombres, direcciones o registros médicos. La PHI tiene alto valor en el mercado negro, vendiéndose por hasta $363 por registro. Su larga duración y el riesgo de robo de identidad la hacen atractiva para criminales.

Con la PHI, los criminales pueden hacer reclamaciones falsas a seguros médicos, comprar y vender equipos médicos, o acceder a prescripciones médicas para uso propio o reventa. Esto no solo afecta a individuos, sino también a todo el sistema de salud.

Las organizaciones de salud están obligadas a notificar las violaciones dentro de un período de 60 días a todas las personas afectadas. Estas notificaciones deben describir la violación, qué información se afectó, pasos para protegerse, y la respuesta de la entidad.

Un informe de IBM muestra que sólo un tercio de las violaciones de datos son detectadas por la empresa afectada, el 27% las revela el atacante, y el 40% las identifica un tercero neutral.

Estas violaciones suelen ser orquestadas por “hackers”, con casi tres cuartas partes atribuídas a acceso no autorizado. La conclusión es clara: nuestros datos de salud están bajo ataque, con consecuencias muy graves.

Lo que agrega más preocupación al asunto es que las organizaciones de salud en EE. UU. actualmente asignan sólo un 6% de su presupuesto de TI a ciberseguridad. Esta puede ser una de las razones más significativas del porqué tardan tanto las detecciones de ciberataques en la industria de salud, según informes de IBM.

No cumplir con requisitos de protección de datos puede resultar en problemas legales severos, como en el caso de Athens Orthopedic Clinic. La violación de datos que sufrieron expuso que claramente que no estaban cumpliendo con los requisitos de la ley HIPPA, como tener políticas apropiadas, adiestramiento a empleados, y acuerdos con socios de negocios. Como resultado, la clínica pagó una suma de $1.5 millones en acuerdos legales por el ciberataque que vivieron y su negligencia.

Las personas tienen derechos sobre su Información de Salud Protegida. Deben ser informadas rápidamente sobre violaciones y recibir detalles para protegerse. La transparencia y la comunicación son componentes esenciales de estos derechos.

Las estadísticas sobre violaciones de datos de salud son alarmantes y deben servir como un llamado a la atención de tanto las organizaciones de salud como las personas individuales. Casos como el mencionado anteriormente enfatizan la importancia de implementar medidas sólidas de ciberseguridad, el cumplimiento estricto de los requisitos legales, y estrategias de defensa proactivas. Solo a través de un esfuerzo colectivo es que podemos proteger nuestros datos de salud y prevenir los daños que provienen por negligencia.

(*) Oscar A. de la Rosa es el fundador y abogado principal de De La Rosa Law, una firma legal en Miami, FL, enfocada en litigios por daños masivos y violaciones de datos.