Violación de seguridad en Finlandia da lugar a extorsión a pacientes

Deborah Brauser

Conflictos de interés

3 de noviembre de 2020

Piratas informáticos han logrado acceso a registros de pacientes en el sistema de psicoterapia privado más grande de Finlandia, Vastaamo, y han enviado correos electrónicos a algunos para que paguen o, de lo contrario, se publicarán en línea sus registros médicos privados.

Vastaamo trata aproximadamente 40.000 pacientes y dirige 25 centros en todo el país. Piratas informáticos dirigieron correos electrónicos a algunos pacientes de los centros asistenciales pidiendo un pago por extorsión de 200 euros en bitcoins, informó The Guardian.[1]

Agencias como la National Bureau of Investigation del país exhortan a las víctimas a no cumplir con las demandas de los chantajistas, pidiendo a los pacientes que reporten estos incidentes a las autoridades y reenvíen los correos electrónicos incriminatorios. Sin embargo, algunos datos de los registros de los pacientes ya se han publicado en línea.

"Lamentamos profundamente lo que ocurrió y en representación de nuestros pacientes que se han visto afectados, pedimos disculpas por la falla en la seguridad de datos y sus consecuencias, cuyo costo humano ha sido extremadamente oneroso", señaló el centro en una declaración, añadiendo que se está investigando la situación.[2]

"Recordatorio aleccionador"

Al comentar sobre la noticia a Medscape Noticias Médicas, el Dr. John Torous, director de psiquiatría digital en el Beth Israel Deaconess Medical Center, en Boston, Estados Unidos, dijo que este es "un recordatorio aleccionador de que cualquier dato digital es susceptible de piratería informática".

El Dr. Torous también es presidente del Comité de Salud y Tecnología de la American Psychiatric Association.

"Esta no es la primera vez que notas de psicoterapia han sido elegidas como objetivo y, de hecho, ha ocurrido a menor escala en Estados Unidos en 2017", destacó.

En abril de ese año, información confidencial sobre registros de pacientes de un centro de salud mental en Maine, que incluían evaluaciones, notas de sesión y nombres de víctimas de abuso sexual, se enumeraron en la dark web.[3]

También en abril, piratas informáticos liberaron el virus WannaCry en el sistema operativo del National Health Service de Reino Unido, que después bloqueó a los médicos el acceso a registros de pacientes y otras herramientas digitales durante tres días.

Además, en 2016 piratas informáticos desconectaron el Hollywood Presbyterian Medical Center en Los Ángeles, Estados Unidos, por más de una semana, después de exigir un rescate de 3,6 millones de dólares.[4]

Investigación penal

En el caso de Vastaamo, tres de sus empleados fueron abordados a través de correo electrónico por los chantajistas a finales de septiembre, informó la compañía. Estos incidentes se dieron a conocer de inmediato y la policía judicial central inició una investigación penal.

Además se estableció contacto con varios organismos, incluidos el Centro Finlandés de Ciberseguridad, la Comisión de Protección de Datos y una compañía de seguridad informática.

Los investigadores consideran que la violación a la seguridad, que condujo al robo de la base de datos de usuarios, ocurrió en noviembre de 2018. Además, las "deficiencias" en la seguridad permanecieron hasta marzo de 2019.

"No sabemos si la base de datos fue robada después de noviembre de 2018, pero es posible que datos individuales hayan sido vistos o copiados", indicó Vastaamo en un comunicado de prensa. No se identificaron "vulnerabilidades adicionales después de marzo de 2019".

El director general del centro, Ville Tapio, que no reveló ninguno de estos incidentes a la compañía matriz ni a su junta de directores, fue despedido después.

Una vez que comenzó la investigación por la policía, Vastaamo dijo que las autoridades no otorgaron permiso para comunicar a sus pacientes lo que ocurrió. Sin embargo, después de que el chantajista dio a conocer alguna información de pacientes en línea el 21 de octubre, se otorgó el permiso para notificar a los pacientes.

La compañía señaló que el chantajista había comenzado a enviar correos electrónicos a las víctimas informando de la violación de datos y exigiendo rescate. Hasta ahora los correos electrónicos no han tenido contenido digital dañino o malware, pero las autoridades advierten que no se debería abrir ningún documento adjunto en los correos. La policía ha pedido que tales correos electrónicos se conserven para que se puedan utilizar como evidencia legal.

En una sección de preguntas y respuestas en su sitio web, Vastaamo señaló que nunca se registraron videos durante sus sesiones de telesalud de los centros, y que los pacientes no deberían preocuparse sobre la posibilidad de que se filtren videos.

Además, el ciberdelito no ha interrumpido las operaciones de Vastaamo.

"Las autoridades y la oficina de respuesta harán lo que esté de su parte para investigar lo que ocurrió, para prevenir la difusión de la información y para procesar a los culpables", informó el centro.

"La tarea más importante es apoyar a los usuarios en medio de una situación excepcionalmente grave y difícil", añadió.

"Escenario del peor de los casos"

En su comentario para Medscape Noticias Médicas, el Dr. Ipsit Vahia, director médico del Institute for Technology and Psychiatry del McLean Hospital, en Belmont, Estados Unidos, dijo que la violación de datos de Vastaamo "representa el escenario del peor de los casos para la salud digital".

Añadió que se necesita más información sobre cuestiones específicas del caso, incluyendo exactamente qué ocurrió, cómo se pirateó el sistema, y qué información se comprometió.

Aun así, "suscita preguntas fundamentales que los sistemas de asistencia a la salud, los profesionales clínicos y los pacientes en todas partes deberían hacer sobre las medidas que se implementan para proteger los registros médicos electrónicos y otra información digital personal", agregó el Dr. Vahia.

"El incidente también es un recordatorio más de que la cuestión de la seguridad de datos y la privacidad es fundamental para la salud mental digital. En última instancia, sin un compromiso de todos los interesados para mantener los niveles más estrictos de seguridad, así como la transparencia sobre cómo se gestionan los datos, habrá poca o nula confianza de parte de los profesionales clínicos o los pacientes", destacó. Todo eso podría evitar que la atención médica digital logre su pleno potencial.

Además, el Dr. Vahia señaló que el rápido repunte de la telemedicina a causa de la pandemia ha acelerado el uso de otras formas de información digital en la asistencia psiquiátrica.

"Este lamentable incidente debería ser una llamada de alerta y volver a poner firmemente en primer plano el tema de la protección de datos", dijo el Dr. Vahia.

Ahora que la telesalud ha adquirido más preponderancia en la práctica clínica, es importante que los profesionales clínicos se mantengan vigilantes en relación con los procedimientos de seguridad, puntualizó el Dr. Torous.

"La telesalud y los datos digitales están aquí para quedarse, y con ellos nuevos beneficios, lo mismo que riesgos. Podemos seguir esforzándonos en minimizar los riesgos y proteger la privacidad y a la vez asegurar que se expandan los beneficios para los pacientes", finalizó.

Si usted o su institución, han tenido una experiencia similar con la piratería informática y desea compartirla, sírvase establecer contacto con Deborah Brauser.

Para más contenido siga a Medscape en Facebook, Twitter, Instagram y YouTube.

Comentario

3090D553-9492-4563-8681-AD288FA52ACE
Los comentarios están sujetos a moderación. Por favor, consulte los Términos de Uso del foro

procesando....