Redacción Farmacosalud.com

A raíz de la crisis del coronavirus, la telemedicina y las teleconsultas -actos médicos realizados por vía telemática y por tanto no presencial- se han visto reforzadas definitivamente como herramientas de presente y sobre todo de futuro en el ámbito de la salud. Ahora bien, en términos de ciberseguridad, esos nuevos canales no están exentos de ciertos riesgos, como por ejemplo el ataque de un pirata informático. “La telemedicina o teleconsultas no dejan de ser comunicaciones entre dos personas o sistemas, por lo que tienen a priori los mismos riesgos que el resto de sistemas, con el añadido extremo de que podrían llegar a afectar a una vida humana; si un ciberdelincuente se hiciese pasar por un médico, podría recetar medicinas equivocadas a un paciente y agravar su estado de salud”, asegura Miguel Ángel Martín Peña, CEO y Founder de Hack By Security y experto en Ciberseguridad del Área de Asesoramiento Gratuito al Soci@ de la Sociedad Española de Directivos de la Salud (SEDISA).

“Por fortuna -comenta Martín Peña a renglón seguido-, los medicamentos se deben adquirir en una farmacia, y el sector farmacéutico está altamente preparado… lo habitual es que una medicina errónea recetada a un paciente levante la sospecha del facultativo y éste advierta sobre ello”.

Las medidas para minimizar estos peligros suelen ser similares. Casi todas ellas pasan por una fuerte validación de los usuarios utilizando un doble factor de autenticación. Para más seguridad, “incluso se podría añadir un doble factor de información, es decir, que lo que indique el médico por la teleconsulta llegue al paciente también por otra vía, ya sea un correo electrónico, un SMS... de esta manera, el ciberdelincuente tendrá mucho más trabajo para poder realizar un ataque con éxito sobre estas plataformas, ya que debería acceder a la plataforma, hacerse pasar por el médico y romper la seguridad del otro medio de información”, argumenta Martín Peña en declaraciones a www.farmacosalud.com.

Otra medida a tener en cuenta sería la conocida como práctica de ‘redundancia’, consistente en la validación de un tratamiento por parte de 2 médicos; o incluso añadir algoritmos o reglas de IA (Inteligencia Artificial) para que alerten en caso de tratamientos no habituales, de tal modo que sea un segundo médico quien se ponga en contacto con el primero para ver si todo es correcto. “También hay que hacer ver el sentido contrario de la comunicación: un ciberdelincuente se hace pasar por un paciente para, de esta forma, cambiar los síntomas iniciales e interrumpir tratamientos, por ejemplo. Con esto quiero decir que la ciberseguridad no debe recaer sólo del lado del centro sanitario, sino que también debe hacerlo del lado del ciudadano”, apunta el asesor de SEDISA.

Ataques contra hospitales o centros sanitarios durante la crisis del coronavirus
La realidad es que algunos piratas y delincuentes informáticos se han aprovechado del ‘caos’ epidemiológico o de la estupefacción inicial de los gestores sanitarios ante la irrupción del COVID-19, una nueva realidad que ha cogido a todo el mundo desprevenido. “Se han cometido bastantes ataques, aunque también es cierto que se han parado muchos de ellos, cosa que no suele darse a conocer… y debería hacerse. Las fuerzas y cuerpos de seguridad del Estado, empresas e incluso hackers* anónimos han puesto su granito de arena para tratar de minimizar el impacto. Los delitos más frecuentes han sido las fake news (noticias falsas), pero también se han llevado a cabo ataques más dañinos contra hospitales o centros sanitarios”, afirma Martín Peña.

Según el CEO y Founder de Hack By Security, “hay muchos tipos de piratas informáticos: algunos de ellos tratan de aprovecharse de las situaciones excepcionales para obtener el máximo provecho; en estas situaciones, la mayoría de las personas y empresas están mucho más expuestas. Por un lado, son momentos de tensión emocional, por lo que hacer click donde normalmente no lo haríamos es mucho más habitual, y por otro, las empresas no estaban preparadas para realizar ciertos cambios de manera tan rápida, y eso hace que los sistemas sean mucho más vulnerables por uso de plataformas sin securizar, configuraciones rápidas y con valores por defecto, inexistencia de planes de actuación... todo ese caos es un caldo de cultivo sensacional para que los ciberdelincuentes se aprovechen”.

La ciberseguridad, como área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con ella, y especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras, no puede gestionarse de forma reactiva, tampoco en las organizaciones sanitarias. “La concienciación y la preparación son los pilares fundamentales de la ciberseguridad. Por un lado, los profesionales del sector sanitario deben conocer y aplicar una serie de normas en ciberseguridad básica y, por otro lado, los técnicos informáticos que gestionan las redes, aplicaciones, páginas web, etcétera deben de estar formados y conocer las técnicas de ataque y defensa”, explica Martín Peña a través de un comunicado de SEDISA. Y si a todo esto se añadiera la posibilidad de que un grupo de expertos independientes analizara el estado de la seguridad cíclicamente, se minimizaría el riesgo “de recibir un ataque”, agrega.

Los Directivos de la Salud tienen un papel fundamental en la gestión de esta área, que supone un pilar fundamental del sistema sanitario. En palabras de Joaquín Estévez Lucas, presidente de SEDISA y Fundación SEDISA, “el Directivo de la Salud debe liderar la seguridad de las organizaciones sanitarias en todos los seguros y, en este marco, la ciberseguridad es componente clave en la gestión sanitaria profesionalizada, de calidad y eficiente, más aun cuando los datos de salud son sensibles según la legislación vigente de Protección de Datos”.

“La creación de un foro de ciberseguridad sanitario es algo necesario”
Para trabajar de forma preventiva y proteger así las infraestructuras y la información, existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos. La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique como un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

Pese a que es posible prevenir los riesgos -remarca Martín Peña-, en la actualidad ni el sector de la salud ni los Directivos de la Salud en general están concienciados sobre la importancia de hacerlo: “En comparación con otros países de nuestro entorno, en España, actualmente, no hay ningún foro de ciberseguridad específico para el sector sanitario. Se han celebrado algunas sesiones, pero no hay nadie al frente que organice y marque unas pautas de obligado cumplimiento, así que, hasta que dichas pautas no se marquen, será un sector altamente vulnerable”.

A juicio de Martín Peña, la irrupción del coronavirus causante del COVID-19 hace que la creación de ese foro sea más necesaria que nunca: “Casi todas las personas somos reactivas, no preventivas. La ciberseguridad se asemeja en cierto modo a la medicina (más bien a los pacientes) en este sentido: sólo vamos al médico cuando nos ponemos malos, sólo nos preocupamos de la ciberseguridad cuando ya hemos recibido un ataque y es tarde, por lo que hay que ser preventivo en ambos casos; es decir, vacunarse cuando proceda y hacer los test o revisiones anuales porque minimizan la posibilidad de enfermar, y tener sistemas seguros y bien configurados y pasar las auditorías anuales porque minimizan el riesgo de sufrir un ataque. De manera que... sí, es necesaria la creación de ese foro de ciberseguridad sanitario”.

Lo ideal sería que dicho foro estuviera formado tanto por expertos en ciberseguridad como en medicina, quienes trazarían una ruta para que la ciberseguridad esté en todos los estratos asistenciales: desde la concienciación de sanitarios y ciudadanos, hasta la securización de hospitales y centros sanitarios, pasando por la creación de protocolos de actuación ya existentes en otros sectores y que se podrían adaptar a éste. “Nosotros, Hack by Security, junto con SEDISA, estamos en plena creación del mismo. Llevábamos un tiempo, incluso antes del estado de alarma, intentando llevar a cabo este proyecto… ahora parece que la sociedad se está dando cuenta del alcance que puede tener un ciberataque, por lo que se hará público en un breve espacio de tiempo y existirá un espacio para cubrir esta necesidad”, explica.

Creación del Área de Asesoramiento Gratuito

Hace un año aproximadamente, SEDISA creó el Área de Asesoramiento Gratuito al Soci@, que contempla Asesoramiento financiero, Asesoramiento fiscal, Cumplimiento Normativo y Protección de Datos, Contratación Pública y Asesoramiento en seguros. Este nuevo modelo de servicio permite diferentes formas de implementación, adaptándose a las necesidades de cada socio de manera personalizada. Según Estévez Lucas, esta área de asesoramiento "tiene la finalidad de facilitar la labor del directivo, aportando confianza, eficacia y profesionalidad en distintas áreas, como la jurídica, finanzas, fiscal, cumplimiento normativo y protección de datos, etcétera, para que pueda dedicarse plenamente al desarrollo de su profesión”.

Servicios del Área

• Los servicios de asesoramiento jurídico para los Directivos de la Salud deben ser permanentes, con el fin de hacer frente de una manera profesional a las distintas situaciones que se puedan plantear, con la garantía del obligado cumplimiento de las normas.
• El capítulo de seguros, tanto privados como de empresa, supone una partida económica importantísima a la hora de contratar y también en el momento de sufrir un siniestro, ya que, en muchas ocasiones, los directivos se juegan la viabilidad de la empresa o el futuro de las familias. El asesoramiento en seguros aporta un gran valor añadido como una fórmula para ahorrar costes en la gestión de las propias pólizas y optimizar recursos. Para generar, en definitiva, beneficios.
• Cada día es más importante poder disponer de un asesor que aconseje sobre cómo obtener mayores rendimientos en ahorros e inversiones; es por esto que este servicio dispone también de asesoramiento financiero de gran calidad, dirigido al socio y a su grupo de referencia, basado en el análisis de necesidades de cada persona. Se asesora de forma independiente mirando por los intereses del cliente.
• Los socios podrán también realizar consultas de tipo fiscal para solucionar aquellas preguntas relacionadas con temas de sucesiones y testamentarias, disponiendo de especialistas en este campo que pueden dar soluciones que reviertan en un beneficio económico para los herederos. Este servicio aporta alto valor a la planificación de la herencia, en cuanto a sus aspectos jurídicos, fiscales, financieros u operativos.
• Otra herramienta de necesaria inclusión en los programas de gerencia es el asesoramiento en cumplimiento normativo, protección de datos y ciberseguridad, para ayudar a las empresas a evaluar los riesgos inherentes propios de su actividad, así como los derivados del entorno regulatorio y legal. En este sentido, la propuesta se basa en un modelo de Cumplimiento Normativo que analiza todos los aspectos internos y organizativos de la entidad, y que revisa además todas las normas administrativas aplicables a la actividad.
• Asimismo, en el servicio del área de contratación pública los socios podrán resolver sus dudas de carácter general sobre la aplicación de la Ley 9/2017 de Contratos del Sector Público, contando con una sólida visión sobre el nuevo régimen regulatorio en la compra pública sanitara, los nuevos itinerarios de contratación y todas las oportunidades y retos que se presentan.

................................................

* Nota del redactor: *aunque se ha popularizado el término hacker como sinónimo de pirata informático, la verdad es que los especialistas digitales recuerdan que, desde un punto de vista estrictamente informático, un hacker es una persona creativa que muestra pasión por el conocimiento y el descubrimiento. Claro que, en su versión más oscura, un hacker puede acabar convirtiéndose en un pirata informático.

Diccionario RAE:

jáquer (del ingl. hacker)
1. m. y f. Inform. pirata informático.
2. m. y f. Inform. Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora.