Software para Laboratorios Médicos… en la mira de los atacantes

En el último tiempo el sector de la sanidad "healthcare" -por su nombre en inglés- ha sido víctima de ataques informáticos cada vez más frecuentes, que ponen en riesgo datos privados y sensibles de la sociedad. Entre los eventos que hemos conocido sobre estos fallos de seguridad o debilidades en este tipo de sistemas están debilidades en el desarrollo de software, datos expuestos “dataleaks”, vulneración a dispositivos médicos/gadgets, que han comprometiendo la privacidad y seguridad en sí mismo de las personas.

Pero esto no es nuevo, hace ya varios años se vienen descubriendo y alertando a diversas empresas tanto proveedor de aplicaciones y hardware; pero en mucho de los casos, sin esto ser algo tan efectivo en el accionar para mitigar dichos riesgos. De hecho, hemos escrito una serie de post en base a investigaciones de diferentes aplicaciones y vectores de ataque, los cuales podrían estar poniendo en riesgo datos de los pacientes que hacen uso de aplicaciones para gestión de imágenes médicas, gestión de registros médicos (EMR), aplicaciones móviles para gestionar su expedientes y exámenes, entre otros.

Las entidades hospitalarias o clínicas cada día tecnifican sus procesos y dependen de la tecnología, haciendo que el negocio dependa mucho más de la misma. En este artículo quise darle espacio a otro posible vector de ataque que he venido analizando dentro de la industria de la sanidad, que podría poner en riesgo otro tipo de información médica. Estas son las aplicaciones conocidas como LIS (Laboratory Infromation Systems), las mismas que almacenan y gestiona los datos de los pacientes y los resultados de sus pruebas. Estas plataformas incluyen características centradas en el paciente, tales como: seguimiento, almacenamiento y gestión de la demografía de un paciente y la información de muestras asociadas, sus pruebas clínicas realizadas en muestras y sus resultados.

El entorno para la tecnología de información de salud, específicamente los programas de gestión de datos de Laboratorios Médicos (LIS), juegan un papel fundamental en la toma decisiones por parte de médicos para realizar diagnósticos, por lo cual los datos que albergan deben ser en todo momento precisos y confiables. Es por ello, sabemos que este tipo de entornos requieren el cumplimiento de una serie de estándares nacionales e internacionales.

Pero, la duda que se hace presente es si se están cumplimento o en qué porcentaje se cumple los controles necesarios para salvaguardar estas plataformas. Sin embargo, el implementar algún tipo de norma o cumplir con algún tipo de certificación no garantiza que este tipo de aplicaciones cuente con las garantías suficientes de seguridad (disponibilidad, integridad y confidencialidad) de la información para sus clientes (pacientes). Es importante que cada empresa u organización enfocada a servicios de salud considere realizar evaluaciones de seguridad periódicas, exigirlas a sus proveedores, educar sus usuarios y clientes, analizar los riesgos y realizar mejoras continuas a las tecnologías que soportan este tipo de servicios de suma importancia para la comunidad.

Dependemos de los servicios tecnológicos que nos ofrecen las industrias sanitarias y cada día están albergando datos privados que para los cibercriminales se vuelven más atractivos. ¿Qué parte le componente a los usuarios, fabricantes y la comunidad para intentar minimizar los riesgos que esto conlleva? Lo importante es trabajar mancomunadamente desde todas las partes gobiernos y reguladores, fabricantes, industria, comunidad, para mejorar y usar los controles de seguridad; y porque no, exigir como clientes que se esté gestionando nuestra información de manera segura dentro de este tipo de plataformas.

Carlos Avila
Chief Security Ambassador
[email protected]