La crisis sanitaria derivada de la pandemia de la Covid-19 disparó la utilización de la telemedicina, un modelo de atención médica que se presta a distancia, por lo general a través del teléfono o de internet, y ya existía antes, pero que a partir de entonces empezó a normalizarse y tuvo un papel fundamental tanto para proteger a los pacientes como al propio personal sanitario.
Ahora que la telemedicina se ha convertido en una práctica habitual, han surgido nuevas preocupaciones en el terreno de la seguridad y privacidad. ¿Son seguros los servicios de telemedicina? ¿Se protegen adecuadamente los datos de los pacientes? ¿Podrían venderse esos datos a terceros o ser robados por ciberdelincuentes?
ESET ha abordado estas dudas e inquietudes en un comunicado, donde advierte que existen múltiples vectores de riesgo, tanto desde las propias aplicaciones y sus desarrolladores como los propios dispositivos de pacientes y personal sanitario. Además, señala que los datos de los pacientes son especialmente lucrativos en los foros clandestinos, ya que incluyen información personal y financiera que puede monetizarse mediante fraudes de identidad y de seguros para obtener recetas médicas de forma ilegal.
"También puede contener información médica potencialmente embarazosa e íntima que podría incluso utilizarse como gancho en sucesivos intentos de extorsión", apunta.
Principales ciberriesgos de la telemedicina
La compañía de ciberseguridad ha elaborado una lista con los principales riesgos de seguridad y privacidad asociados a la telemedicina. A continuación los repasamos siguiendo su propia información:
- Recogida de datos: Para Privacy International, organización británica sin ánimo de lucro, "el reto de las apps de telesalud es también el propósito que impulsa su existencia; recopilar datos sanitarios de las personas". Según indica, algunas aplicaciones de telemedicina "recopilan y almacenan muchísimos más datos" que los proveedores tradicionales de asistencia sanitaria. La consecuencia de esto es que corran el riesgo de ser vendidos a terceros o robados/filtrados, si el proveedor de la app sufre un incidente de seguridad.
- Vulnerabilidades del software: El software de telesalud puede contener fallos de seguridad, que pueden ser aprovechados por ciberdelincuentes para hacerse con información de los pacientes y cometer fraudes.
- Credenciales de las aplicaciones web: Si los usuarios utilizan contraseñas débiles o fáciles de adivinar, existe el riesgo de que los ciberdelincuentes secuestren sus cuentas y recopilen información médica, financiera y de prescripción sensible. La reutilización de contraseñas también es una amenaza importante ya que, si se usa la misma contraseña para la aplicación de medicina que para otros sitios y apps, en caso de intrusión los delincuentes podrían utilizar las mismas credenciales para desbloquear tu aplicación de telesalud.
- Aplicaciones de telemedicina maliciosas (falsas): Otra técnica clásica de los ciberdelincuentes para comprometer los datos de los usuarios consiste en colocar en las plataformas de descarga de aplicaciones, aplicaciones de apariencia legítima que en realidad son maliciosas. Pueden contener malware, el cual puede utilizarse para obtener datos personales y financieros del teléfono asociado.
- Riesgos de los dispositivos conectados: Al igual que las aplicaciones de telemedicina recopilan grandes cantidades de datos, los dispositivos conectados, como los monitores de salud, también pueden hacerlo. Algunos indican, por ejemplo, la ubicación y las actividades del usuario, y pueden ser almacenados tanto por el proveedor de asistencia sanitaria como por el fabricante del dispositivo o la aplicación. Esto multiplica el riesgo de filtraciones, infracciones y posterior venta a terceros sospechosos y, aunque es muy probable que muchos de nosotros no leamos la letra pequeña de las políticas de privacidad que permiten esto último, la normativa GDPR debería proteger a los consumidores de la UE y el Reino Unido de un intercambio excesivo de datos.
Medidas de seguridad
En su comunicado, ESET también recuerda algunas buenas prácticas que pueden ayudar a prevenir y mitigar muchos de los problemas mencionados.
- Proteger el PC/dispositivo con el software de seguridad de un proveedor de confianza.
- Utilizar siempre contraseñas seguras y únicas.
- Añadir una capa adicional de seguridad a las contraseñas activando la autenticación multifactor, cuando esté disponible.
- Mantener siempre la última versión de las aplicaciones de telemedicina y chat.
- Preguntar a tu proveedor cómo se procesa y protege tu información personal y sanitaria.
- Asegurarse de que todas las aplicaciones comerciales de chat utilizadas para la telemedicina estén cifradas de extremo a extremo.
- Nunca iniciar sesión desde un punto Wi-Fi público o un PC/dispositivo compartido.
- No concertar una cita de telesalud ni compartir información con un proveedor o con datos de contacto que no se conozcan.