Salud: los más débiles como blanco de los ciberataques

Gerardo Monforte

gmonforte@lanueva.com

Periodista especializado en la cobertura de temas judiciales y policiales desde 2010, con 20 años de actividad en La Nueva. Producción de información sobre causas y juicios, muchos de ellos con gran repercusión local, nacional e internacional. Egresado del Instituto Superior en Ciencias de la Comunicación Social, de esta ciudad. 

El rubro de la salud, tanto pública como privada, fue uno de los más perjudicados por ciberataques durante los últimos años en todo el mundo y la Argentina, e incluso nuestra ciudad, no resultaron ajenos a estos incidentes que muchas veces vulneran la privacidad de los más débiles: los adultos mayores.

El Instituto Nacional de Servicios Sociales para Jubilados y Pensionados (PAMI), los ministerios de Salud de la Nación y de la provincia de San Juan, como también la empresa de medicina prepaga OSDE, fueron algunos de los blancos de hackers que se apoderaron de datos sensibles de millones de argentinos.

A principios de agosto la agrupación Ransomware as a Service (RaaS) vulneró el sistema digital de documentación de la mencionada obra social estatal y la atención a los afiliados se vio afectada a raíz de la filtración de más de 18 gigabytes de información y 1,6 millones de archivos.

Según un estudio elaborado por el Foro Económico Mundial, desde el inicio de la pandemia en 2020 hasta el primer semestre de este año el ámbito sanitario recibió 22 por ciento más de ataques que durante el mismo período de 2022, convirtiéndose así en el tercer sector más damnificado mundialmente.

En el primer y segundo puesto del ranking figuran los campos de educación e investigación, y de finanzas, seguros y comunicaciones, respectivamente.

Las graves consecuencias de este tipo de maniobra delictiva, que atenta contra la confidencialidad de información relevante, se materializan un tiempo después cuando las víctimas, eventualmente, reciben correos de suplantación de identidad (phishing), extorsión y/o estafas.

Según el abogado local Fernando Branciforte, especialista en derecho informático, son muchas las probabilidades de que haya bahienses entre los aproximadamente 5 millones de damnificados como consecuencia de los hackeos, por caso, contra el PAMI.

“No tengo conocimiento concreto de que haya habido víctimas bahienses directas, pero al ingresar (ciberdelincuentes) en el sistema de PAMI se generó una filtración de datos que afectó absolutamente a todos sus afiliados”, dijo Branciforte.

Esa información luego se vende en la dark web o Internet “oscura”.

“Después es difícil saber qué pasa con esos datos o hacerles un seguimiento. Quizá algunos de los tantos estafados virtuales que tuvimos en Bahía indirectamente fueron por estos ciberataques”, estimó el experto.

“Porque hay muchos DNI dando vueltas, cuyos números de trámite se pueden utilizar para sacar un chip en un teléfono celular y hacer el famoso SIM swapping (pedir en forma fraudulenta un nuevo chip a nombre de otra persona para tomar el control de la línea y de sus servicios asociados), u obtener un préstamo a través de aplicaciones online”, amplió.

“Es una hipótesis, pero no me extrañaría que más de un bahiense haya sido afectado, al margen de la cuestión de los atrasos en los sistemas y en la entrega de recetas electrónicas”, concluyó.

Un prestador de servicios informáticos de la Asociación Médica de Bahía Blanca habría experimentado los efectos de un ataque cibernético, que al parecer no perjudicó a la institución bahiense.

Así lo confirmó el doctor Carlos Deguer, presidente de la AMBB, quien precisó que en el último tiempo uno de los prestadores de la entidad informó que “había sufrido algún tipo de ciberataque”.

Sin embargo, posteriormente no lo confirmó en el “informe final por escrito” enviado a las autoridades de la asociación.

“Por lo tanto son rumores. De cualquier manera estamos alerta porque, además de PAMI, hubo problemas con Avalian y la UOCRA, y hay casos de los que ni siquiera nos hemos enterado. Los hackers han ido por las obras sociales y los sindicatos”, finalizó Deguer.

“Vidas en riesgo”

El fiscal federal Horacio Azzolín, titular de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), coincidió con la evaluación del Foro Económico Mundial.

“El sector de salud en la Argentina fue muy atacado en 2023 y es sumamente sensible. Hay (filtraciones de) datos personales y datos médicos, además de que se ponen vidas en riesgo”, recalcó Azzolín.

“Esto ocurre porque un ciberataque impide, por ejemplo, consultar una historia clínica o saber qué medicación le podés dar a alguien, incluso en el consultorio más pequeño”, agregó.

“Nuestros datos de salud deben protegerse y también nosotros debemos ser cuidadosos, exigiendo la mayor discreción posible y un adecuado tratamiento de datos personales sensibles, según establece la ley”, finalizó el jefe de la UFECI, dependiente del Ministerio Público Fiscal de la Nación.

El flujo de información sensible sobre pacientes, almacenado y transmitido vía Internet, se incrementó en gran medida a causa de la intensificación de la telemedicina y el uso de recetas electrónicas, durante la emergencia sanitaria provocada por el coronavirus.

Estas circunstancias derivaron en que la actividad vinculada con la salud se transforme en un objetivo principal para los autores de estas operatorias ilícitas.

Si bien el aporte de la tecnología al sector sanitario es sustancial, es necesario tener presentes los eventuales riesgos que implica la digitalización de la actividad.

Por ejemplo, el ransomware es un malware que cifra los archivos de una víctima y exige un rescate a cambio de la clave de descifrado.

Este tipo de vulneración puede ser altamente nocivo para los organismos y empresas de atención médica, a raíz de que en general estas dependen del acceso a datos confidenciales de pacientes para brindar el servicio.

Ley que podría actualizarse

Confidencialidad. La ley argentina de Protección de los datos personales (25.326), promulgada en octubre de 2000, define a los “datos sensibles” como “datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual”.

Reforma. El proyecto de reforma de la norma, presentado por la Agencia de acceso a la información pública, introduce el concepto de “autodeterminación informativa” que consiste en el derecho a “decidir o autorizar de forma libre, previa, expresa e informada la recolección, uso o tratamiento de sus datos personales, así como de conocer, actualizar, rectificar o suprimirlos, o controlar lo que se hace con su información”.

Tratamiento. También alude al consentimiento del titular de los datos personales, es decir “toda manifestación de voluntad previa, expresa, libre, inequívoca, informada y específica" por medio de la cual él o su representante (...) "acepta, mediante una declaración o una clara acción afirmativa", el tratamiento de esa información.

Riesgo. La propuesta califica a los datos sensibles como aquellos ligados a la "esfera íntima" de su titular, o que su uso indebido por parte de terceros orige "discriminación o conlleve un riesgo grave" para él.