Al dato datoooooo
En esta edición hablamos sobre hacks a servicios de salud, que no es lo mismo que hacks saludables
Sin Códigos es un espacio de reflexión sobre el mundo tecnológico y el impacto que la tecnología tiene en nuestras vidas. Lo escribe Bel Rey ✨ y sale una vez por semana ¡Suscribite y no te pierdas ninguna edición!
Hola, Códigonautas, feliz viernes. Vengo de sacarme sangre (si, de nuevo). Mientras esperaba que terminen de extraer los 95 tubitos me puse a pensar en la privacidad de mis datos porque hace unos días…
Hackearon tres centros de salud en Argentina
El Grupo Rossi, que administra tres centros médicos (Centro Rossi, Laboratorio Hidalgo y Stamboulian Servicios de Salud), sufrió un ataque el día veinte de Noviembre que encriptó la información de los servidores compartidos y dejó inaccesibles sus sistemas. Los atacantes exigieron un rescate millonario que la organización decidió no pagar.
El ataque tuvo impacto inmediato en los servicios a usuarios y todos los centros sufrieron algún tipo de dificultad en sus prestaciones llegando incluso a suspender actividad.
El ataque fue realizado por Fog Ramsomeware, que no solo encripta datos, sino que también puede atacar sistemas de backup complicando la recuperación. Este tipo de ataque suele iniciarse mediante phishing o vulnerabilidades conocidas en los sistemas. Si quieren saber más sobre las implicancias técnicas les dejo como siempre la infaltable recomendación a
que en la última edición trata el tema en profundidad.Porque yo de hackear no se nada, pero de lo que me interesa hablar en esta edición es sobre quienes deberían cuidar nuestros datos sensibles (y cómo están fallando)
¿Qué dice la legislación Argentina con respecto a la privacidad de los datos de salud?
En Argentina, la protección de los datos médicos se encuentra regulada por la Ley 25.326 de Protección de los Datos Personales, sancionada en el año 2000. Esta ley considera a los datos de salud como "datos sensibles” otorgándoles protección especial. Cabe destacar que esta legislación no es específica para este tipo de datos, incluye todo tipo de información sensible como origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, y más.
La ley establece que el tratamiento de datos personales es ilícito sin el consentimiento del titular, excepto en circunstancias específicas, como cuando una ley lo dispone o se trata de datos de acceso público irrestricto y en estos casos debería ser anónima. Los establecimientos sanitarios y profesionales de la salud pueden recolectar y tratar datos personales relacionados con la salud física o mental de los pacientes pero siempre respetando los principios del secreto profesional.
En cuanto a la seguridad de los datos, la ley obliga a los responsables o usuarios de datos a adoptar las medidas técnicas necesarias para garantizar la seguridad y confidencialidad de los datos personales.
El problema es que no queda claro cuáles son esas medidas. No existe una “lista oficial” de cumplimiento. Las medidas serán entonces las mejores prácticas que cada organización disponga.
En Estados Unidos, la legislación es distinta y cuenta con una ley especializada en datos de salud: la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés). HIPAA establece estándares nacionales para la privacidad y seguridad de la información de salud protegida. Las entidades cubiertas por HIPAA incluyen planes de salud, centros de compensación para atención médica y ciertos proveedores de atención médica que transmiten información de salud electrónicamente.
En USA tampoco existe una lista oficial de cumplimiento, pero si organizaciones que se dedican a estandarizar y auditar las prácticas de seguridad. Yo tuve la experiencia de trabajar en un proyecto “HIPAA compliant” de 2012 a 2019 y aunque no es perfecto tengo que admitir que tener un marco de trabajo realmente ayuda a definir criterios y “bajar a tierra” mejoras a nivel seguridad.
No que sea infalible, aún así allá en el norte los ataques similares a servicios de salud no paran de aumentar.
Intentando no generalizar, las implementaciones a nivel desarrollo de portales de salud dejan en mi opinión bastante que desear. Sospecho que la principal causa es la falta de equipos dedicados al desarrollo y mantenimiento. También a la composición de los equipos, que suelen conformarse puramente de perfiles que priorizan tareas técnicas por sobre medidas pensadas para el usuario.
En criollo: muchos programadores, poco producto.
Los problemas de estas filtraciones son muchos, pueden usarse para discriminar a personas afectadas o para personalizar estafas y hacerlas más convincentes. No importa con que fin se roben, el secreto médico es un derecho y cada vulnerabilidad un ataque directo a su cumplimiento.
La legislación actual sirve hasta cierto punto, pero en la medida que no se traduzca en esfuerzos reales por cuidar los datos vamos a seguir teniendo estos problemas. Gran momento para ponerse a desarrollar una plataforma SaaS de salud con accesos robustos y bases de datos protegidas. Yo se las tiro.
Ahora si amigos de Sin Códigos, nos vemos el próximo viernes con más novedades del mundo tech 💕
Hola, seamos amigos ☕️
¿Qué te pareció esta edición? Contame en los comentarios:
Si te gusta lo que escribo podés recomendarlo con quien quieras <3
Y si querés apoyar la escritura independiente (y ayudarme a pagar la hipoteca) Regalame un Cafecito o sumate a un plan mensual
¡Gracias por leerme!