Una fuga de datos médicos afecta a unos 50 países y millones de pacientes
Entre ellos había fundamentalmente exámenes de cáncer de pecho y radiografías de la columna o del tórax
Datos médicos de millones de pacientes, de unos de 50 países, han estado durante años en internet sin protección alguna y con libre acceso. Lo que puedan haber hecho con ellos algoritmos de predicción de conducta, aseguradoras y bancos, empresas publicitarias o de gestión de empleo nos sitúa en el escalofriante escenario en el que la digitalización ha dejado la privacidad del paciente . A partir de un proveedor de servicios radiológicos , han salido libremente a la red al menos un millón de paquetes de datos. El país más vulnerable ha sido EE.UU. y, aunque España no es mencionada en ningún momento en el informe , no puede descartarse por ahora que se encuentre entre los afectados.
El caso ha sido denunciado por una investigación de la Televisión Bávara alemana (BR), en cooperación con la plataforma estadounidense ProPublica. Entre los datos a disposición de cualquiera había fundamentalmente exámenes de cáncer de pecho y radiografías de la columna o del tórax, donde por ejemplo se pueden ver con claridad la presencia de marcapasos, todas ellas adjuntadas a de informaciones exhaustivas sobre los pacientes. Cuando los pacientes se someten a una resonancia magnética se toman imágenes de dos y tres dimensiones que son enviados a un servidor especial para archivarlos. A ese servidor llegan también radiografías y tomografías a las que es muy fácil acceder en la red, según el experto en seguridad informática que descubrió la brecha de seguridad, Dirk Schrader.
Schrader se puso en contacto con BR después de encontrar 2.300 servidores con datos de pacientes en los que no había ningún tipo de protección. «En los sistemas que investigué tuve la sensación de que incluso podía acceder a los datos antes que los médicos», dice en el reportaje. Según BR, solo en Alemania están afectados 13.000 paquetes de datos de pacientes a los que cualquiera podía acceder libremente hasta la semana pasada. A nivel mundial, las dimensiones son mucho mayores y entre los países más afectados, además de EE.UU., se menciona por ejemplo a Brasil, Turquía e India, con cerca de 16 millones de pacientes afectados en conjunto.
«Integridad digital»
A partir de la denuncia de Schrader, el equipo de investigación de BR contactó a parte de los pacientes afectados para comprobar la autenticidad de los datos. El encargado de Protección de Datos del Gobierno alemán, Ulrich Kelber, declaró que había tenido «una primera impresión desoladora» cuando fue confrontado con los datos. « Nadie quiere que su empleador, una aseguradora o un banco tenga acceso a esos datos y a partir de ellos niegue un crédito o un contrato », ha dicho, «esos datos forman parte de nuestra identidad digital y no tienen por qué llegar a manos de terceros».
El principal beneficio de implantar y usar formatos electrónicos para compilar las historias médicas de los pacientes reside en agilizar el acceso sobre esos datos y en aumentar el control sobre el acceso a esa información de forma mecánica. Los datos médicos en formato electrónico permiten acceder desde distintos sitios a la información , compartir la información con otros usuarios autorizados, y que varias personas puedan acceder al mismo tiempo y actualizar el historial en tiempo real. El problema es que los sistemas sanitarios apenas alcanzan a actualizar sus sistemas de seguridad a la velocidad a la que los hackers desarrollan vías de acceso. En este caso, además, se trata de servicios subcontratados a terceros sobre los que los sistemas sanitarios no tienen gran capacidad de control.
Sebastian Schinzel, catedrático de seguridad informática en la Escuela Superior Politécnica de Munster, ha calificado el caso de «escándalo» y ha subrayando que «se trata de datos muy sensibles y naturalmente nadie quiere que cualquiera puede acceder a ellos sin necesidad de contraseña. Me parece una catástrofe ». Schinzel apunta que los mecanismos de protección de la información médica deben contemplar y balancear la necesidad de información por parte de los prestadores del servicio con la confidencialidad debida al receptor del servicio y considera que son las propias organizaciones las responsables de autorizar e identificar a los usuarios autorizados que han de acceder a las bases de datos que contienen información sobre sus pacientes y también controlar los casos en los que éste acceso estará permitido.
Noticias relacionadas
