Para ‘hackers’ la historia clínica vale más que una tarjeta de crédito

Expertos en seguridad aseguran que los ciberdelincuentes se están enfocando cada vez más en atacar a la industria de la salud de Estados Unidos.

descripción de la imagen
A medida que los atacantes descubren nuevos métodos para obtener dinero, la industria de la salud se vuelve un blanco más codiciado por la posibilidad de vender grandes paquetes de datos personales.

Por REUTERS

2014-09-26 11:01:00

NUEVA YORK/BOSTON. Su información médica personal vale 10 veces más que el número de su tarjeta de crédito en el mercado negro.

El mes pasado, el FBI les solicitó a los proveedores de servicios de salud que se protejan de los ciberataques, después de que Community Health Systems Inc, uno de los principales operadores hospitalarios de Estados Unidos, informó que un grupo de piratas informáticos chinos ingresaron a su red y robaron la información personal de 4.5 millones de pacientes.

Expertos en seguridad aseguran que los ciberdelincuentes se están enfocando cada vez más en atacar a la industria de la salud de Estados Unidos, de 3 billones de dólares y en la que muchas empresas se resisten a reemplazar sistemas informáticos obsoletos sin las últimas medidas de seguridad disponibles.

“A medida que los atacantes descubren nuevos métodos para obtener dinero, la industria de la salud se vuelve un blanco más codiciado por la posibilidad de vender grandes paquetes de datos personales”, dijo Dave Kennedy, experto en seguridad y presidente ejecutivo de TrustedSEC LLC.

“Los hospitales cuentan con un bajo nivel de seguridad, de modo que para los piratas informáticos es relativamente sencillo obtener una gran cantidad de datos personales para cometer fraudes médicos”, agregó.

Entrevistas con casi una decena de ejecutivos del área de la salud, investigadores especializados en ciberseguridad y expertos en fraude aportaron detalles de un mercado subterráneo de datos robados de pacientes: nombres, fechas de nacimiento, números de pólizas, códigos de diagnósticos e información de facturación.

Los piratas informáticos crean una identidad falsa para comprar equipamiento médico o fármacos que revenden o combinan el número de un paciente con un número de proveedor falso y prestaciones registradas en los aseguradores, según explican quienes investigaron ciberataques a organizaciones que brindan servicios de salud.

El hurto de la identidad médica no suele detectarse rápidamente, lo que les proporciona a los delincuentes años de recursos. Eso hace que la información médica sea más valiosa que las tarjetas de crédito, que los bancos cancelan rápidamente cuando detectan el fraude.

La información médica puede costar 10 dólares por dato (10 o 20 veces más que el número de una tarjeta de crédito de Estados Unidos), según dijo Don Jackson, director de inteligencia de amenazas de PhishLabs. Obtuvo esa información al observar las transacciones del mercado donde los piratas informáticos venden la información.

La cantidad de organizaciones de salud que denunciaron un ciberataque creció del 20 por ciento en el 2009 al 40 por ciento en el 2013, de acuerdo con un informe de los especialistas en protección de datos del Instituto Ponemon.

Marc Probst, jefe de información de Intermountain Healthcare, Salt Lake City, contó que el sistema informático de su hospital impide miles de intentos de acceso a la red todas las semanas. Hasta ahora, ninguno tuvo éxito.

Los profesionales de la salud y los aseguradores deben informar públicamente las violaciones de seguridad que afecten a más de 500 usuarios, pero no existen leyes que penalicen esos ataques. Por lo tanto, es difícil determinar el costo total de los ciberataques contra el sistema de salud.