El ataque de ransomware que sufrió el año pasado el Hospital Clinic de Barcelona de parte del grupo Ransom House puso en evidencia la vulnerabilidad de los sistemas y los riesgos que un bloqueo o secuestro de datos puede significar para la salud de los pacientes y el normal funcionamiento de un centro médico, como parte de las infraestructuras críticas de un país.
Según Juan Díez, responsable de ciberseguridad del INCIBE para los sectores estratégicos Sanitario, Alimentario y de Investigación, “en el mercado negro se paga entre 35 y 900 euros el historial (clínico), mientras que por una tarjeta de crédito se dan entre 5 y 10”. Lo que habla de un aumento del interés y una rentabilidad –ilegal, claro– de este tipo de datos que hasta hace poco tiempo no era siquiera considerada.
La Agencia Europea para la Ciberseguridad, ENISA, ha ubicado al ámbito de la salud como el segundo en recibir mayor cantidad de ciberataques en la UE, con el 8% de los incidentes, precedido solamente por la administración pública (19%). Detrás del sector salud aparecen la banca (6%), el transporte (6%) y la energía (4%).
El ataque de ransomware de Blackcat contra Change Healthcare provocó la suspensión del servicio de centenares de hospitales y centros médicos de EE.UU., porque la tecnología afectada se vincula con un tercio de todos los historiales médicos del país.
El mismo estudio indica que el 53% de esos ataques fueron dirigidos a los proveedores de atención médica. Los hospitales han recibido el 42% de los incidentes registrados, y son los que se encuentran en una posición más vulnerable. Luego, otras entidades de la sanidad como las autoridades sanitarias y la industria farmacéutica también han sido objetivo de ataques.
Cómo afectan los ciberataques al sector de la salud
En febrero de este año ocurrió uno de las mayores vulneraciones al sistema sanitario de los que se tenga conocimiento. Change Healthcare, una empresa que procesa pagos y recetas médicas en Estados Unidos, sufrió un ataque perpetrado por el grupo de ransomware Blackcat.
La magnitud de este ciberataque es impactante: la tecnología que gestiona esta empresa procesa cada año 15.000 millones de pagos de pacientes y se vincula con un tercio de todos los historiales médicos del país. El ataque de Blackcat obligó a suspender el servicio, con lo que centenares de hospitales y centros médicos de todo EE.UU. no pudieron emitir recetas ni recibir pagos, entre otras muchas funciones.
Según la Asociación de Hospitales Estadounidense (AMA) se trató “del ciberataque más importante contra el sistema sanitario estadounidense en toda la historia del país”.
Un estudio reveló que cuando cuentas de Google identificadas como mujeres de ingresos bajos buscaban información sobre cómo hacerse un aborto, más de la mitad de los anuncios servidos por Google provenían de falsas clínicas de aborto, que buscaban disuadirlas para que lleven a término sus embarazos.
“En el ámbito sanitario, un ciberataque va más allá de una simple filtración de datos. Los riesgos para la salud de los pacientes son reales y potencialmente mortales. Imaginémonos un escenario donde los sistemas informáticos de un hospital se ven comprometidos, lo que provoca la desactivación de equipos médicos críticos o la alteración de registros de medicamentos. Las consecuencias podrían ser catastróficas: retrasos en la atención, diagnósticos erróneos e incluso la administración de tratamientos incorrectos. La ciberseguridad en el sector sanitario no es solo una cuestión de privacidad, es una cuestión de vida o muerte”, enfatiza Francisco Valencia, CEO de Secure&IT, compañía española especializada en ciberseguridad.
La salud de los ciudadanos más allá del sistema médico
Pero también hay otro tipo de efectos y consecuencias delictivas. ¿Por qué un delincuente obtendría hasta 900 euros por vender un historial médico? La respuesta está en el comercio de datos a anunciantes para que éstos elaboren contenidos adaptados a cada usuario.
Un ejemplo muy claro lo brinda la ex investigadora de Harvard, Shoshana Zuboff, quien explicó en un documental elaborado por VPRO Documentary que Facebook, teniendo en su poder los perfiles psicológicos de millones de adolescentes, “era capaz de identificar los momentos de mayor vulnerabilidad –estrés, ansiedad, dudas– para mostrarles el anuncio de algún objeto deseable, generando un alto grado de clics (y, por ende, de compra). El proceso ocurría de manera inconsciente, pero los beneficios económicos estaban garantizados”, señaló Zuboff.
Trasladada esta situación al área de la salud, los investigadores del Tech Transparency Project revelaron en un informe de febrero de 2023 que Google mostraba a las mujeres de clase baja que buscaban interrumpir el embarazo publicidad sobre clínicas antiabortivas.
El estudio descubrió que “cuando una cuenta de Google creada por TTP que se identificaba como una mujer de ingresos bajos o promedio en Phoenix buscaba información sobre cómo hacerse un aborto, más de la mitad de los anuncios de búsqueda (56%) servidos por Google provenían de centros embarazos en crisis. Esa es una tasa mucho más alta que la que recibieron las mujeres de ingresos moderados y altos de la misma ciudad”.
TTP explica que los centros de embarazos en crisis, denominados como “clínicas de aborto falsas”, simulan ofrecer servicios médicos, proporcionan ecografías y suministros para bebés de forma gratuita, pero en realidad esconden un mensaje antiaborto, y todos los servicios tienen el objetivo de persuadir a las mujeres a llevar a término embarazos no deseados.
Las pulsaciones, el ejercicio físico realizado, los detalles del ciclo menstrual, las características del sueño y los rasgos del rostro usados para el reconocimiento facial son sólo algunos de los datos sensibles que pueden obtenerse.
Así, la información médica que pueden obtener los delincuentes de las historias clínicas robadas, los datos que recopilan las aplicaciones de salud aparentemente gratuitas y toda la información que pueda registrarse de nuestras búsquedas en Internet o usos de distintas herramientas tecnológicas, incluidas las redes sociales, convierte a cada usuario en una mercancía, susceptible de ser manipulado y redirigido con fines comerciales e incluso, ideológicos.