Todos estamos al tanto de los titulares recientes sobre importantes filtraciones de datos de información personal e incidentes cibernéticos similares, desde el robo de 145 millones de registros de una importante agencia de informes crediticios hasta reportes sobre ransomware que paraliza negocios. Pero de todos los datos que están en riesgo, una filtración de nuestra información de salud es probablemente la más preocupante.

• Los datos de salud son muy personales y pueden contener información que deseamos mantener confidencial (p. ej., expedientes de salud mental) o que potencialmente podría afectar las perspectivas laborales o la cobertura del seguro (p. ej., enfermedad crónica o historial de salud familiar).

• Es de larga duración: una tarjeta de crédito expuesta puede cancelarse, pero tu historial médico te acompaña toda la vida.

• Es muy completo y abarcador: la información que las organizaciones de atención médica tienen sobre sus pacientes incluye no solo datos médicos, sino también información de seguros y de cuentas financieras. Esto podría ser información personal como números de Seguro Social, direcciones o incluso los nombres de familiares más cercanos. Una gran cantidad de datos así puede ser monetizada por adversarios cibernéticos de muchas maneras.

• En nuestro mundo digital de atención médica, la disponibilidad confiable de datos de salud precisos para los médicos es fundamental para la prestación de atención, y cualquier interrupción en el acceso a esos datos puede retrasar la atención o poner en riesgo el diagnóstico.

La privacidad y la seguridad de la información de salud están estrictamente reguladas en EE. UU. bajo leyes federales, como la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), pero también mediante diversas leyes estatales y leyes que protegen a las personas contra la discriminación basada en datos genéticos.

Desafortunadamente, las filtraciones de datos de salud son demasiado comunes. En 2016, el Departamento de Salud y Servicios Humanos de EE. UU. informó un total de 450 filtraciones de datos de atención médica que afectaron a más de 27 millones de pacientes, y los 10 incidentes más grandes representaron por sí solos la mitad de los registros comprometidos (13 millones). Y, lo que es más preocupante, más de la mitad de todas las filtraciones se debieron a ciberataques externos, en lugar de a una exposición accidental por error humano o pérdida de dispositivos.

Al observar ejemplos recientes de incidentes de seguridad en el sector salud, se verá un amplio espectro de eventos y la motivación subyacente del ciberdelincuente. Hemos visto reportes de empleados en hospitales que revisan expedientes médicos por curiosidad o publican información sobre pacientes en redes sociales. También ha habido casos en los que la identidad, la información financiera o de seguros de una persona se roba para beneficio personal, por ejemplo para solicitar una hipoteca o para recibir servicios médicos en el nombre de otra persona (y con el seguro de otra persona).

Los incidentes que tienen un impacto más amplio y afectan a más pacientes son el robo de expedientes médicos y los intentos de extorsionar a organizaciones de atención médica amenazando con la divulgación de datos robados. Además, las instituciones de atención médica se han visto afectadas por ransomware; algunas deciden pagar y otras no, optando en cambio por aceptar el impacto en los servicios a los pacientes y la pérdida de ingresos.

Para los proveedores de atención médica y las aseguradoras, por lo general no hay limitación para que los pacientes divulguen información sobre su salud. Así como cualquier paciente puede (y en la mayoría de los casos debería) compartir inquietudes sobre su salud con familiares y amigos, ahora cualquier paciente puede compartir fácilmente lo que quiera con el mundo a través de las redes sociales o unirse a un grupo de apoyo en línea. Aunque estos suelen ser pasos positivos que ayudan a una persona con problemas de salud a encontrar apoyo y recibir consejos, ahora necesitamos ser mucho más conscientes de lo que compartimos y de dónde termina.

¿Qué tan grande es tu red social y quién puede ver lo que compartes? ¿Quién administra el grupo de apoyo al que acabas de unirte y cuál es su compromiso con la privacidad de los datos? Muchos sitios, especialmente si están alojados por organizaciones de buena reputación, son seguros. Pero ¿cómo sabes qué información tuya, si es que alguna, podría compartirse y analizarse con fines de marketing u otros propósitos?

De ninguna manera este consejo debe interpretarse como una postura en contra de compartir o buscar apoyo en línea. Cuanto más sabemos, mejor preparados estamos y mejores decisiones de atención médica podremos tomar. La gran cantidad de información que podemos obtener de Internet ha dado lugar a una población de pacientes más informada, mucho más capaz de participar y formar parte del proceso de curación.

Sin embargo, las preocupaciones sobre la capacidad de tu proveedor de atención médica para proteger tus datos no deben llevar a los pacientes a retener información. Incluso en esta era digital, la relación de confianza entre paciente y médico sigue siendo el aspecto más importante de nuestro sistema de atención médica, y esa confianza funciona en ambos sentidos: los pacientes necesitan confiar a sus proveedores información a menudo íntima y personal, y los proveedores necesitan saber que sus pacientes no están ocultando nada debido a preocupaciones de privacidad.

Hemos entrado en la nueva era de la medicina digital y de la disponibilidad casi universal de la información, lo que conduce a mejores diagnósticos y tratamientos más exitosos, reduciendo en última instancia el sufrimiento y prolongando vidas. Sin embargo, esta gran oportunidad también conlleva nuevos riesgos y todos nosotros —proveedores de atención médica y pacientes por igual— necesitamos ser conscientes de cómo usamos esta nueva tecnología y compartimos información.

Los siguientes blogs de esta serie analizarán estos temas con más detalle, en particular las redes sociales, las aplicaciones de salud y los dispositivos personales de salud y bienestar, y revisarán cómo nosotros, como pacientes y consumidores, podemos hacer un mejor trabajo protegiéndonos a nosotros mismos y a nuestra información.

Sobre los autores

Los autores son miembros del Comité de Privacidad y Seguridad de la Healthcare Information and Management Systems Society (HIMSS):

Bayardo Alvarez, CPHIMS, es el director de tecnología de la información de Boston PainCare Center, una práctica interdisciplinaria enfocada en el tratamiento e investigación del dolor crónico. Sus responsabilidades incluyen supervisar el programa de ciberseguridad y cumplimiento de Boston PainCare. Bayardo ha trabajado en el sector de la atención médica por más de una década y tiene más de 30 años de experiencia en tecnología de la información. Actualmente preside el Comité de Privacidad y Seguridad de HIMSS.

Carrie McGlaughlin, CISM, ha trabajado durante dos décadas en TI de atención médica y es la directora de tecnología de la información y oficial de seguridad de HIPAA en Buckeye Ranch, una organización de salud conductual y mental para jóvenes y familias.

Axel Wirth, CPHIMS, CISSP, HCISPP, es un arquitecto de soluciones distinguido para la industria de la atención médica de EE. UU. en Symantec Corporation. Proporciona visión estratégica y liderazgo técnico dentro del vertical de atención médica de Symantec, desempeñando un papel de consultoría para proveedores de atención médica, socios de la industria y profesionales de tecnología de la salud. A partir de más de 30 años de experiencia internacional en la industria, el Sr. Wirth está apoyando a los clientes de atención médica de Symantec para resolver sus desafíos críticos de seguridad, privacidad, cumplimiento y gestión de TI.