Las filtraciones de datos hospitalarios podrían provocar robo de identidad y fraude financiero
Los piratas informáticos no siempre se dirigen a las tiendas minoristas y los bancos; también se dirigen a los hospitales. Al hacerlo, pueden obtener una cantidad significativa de información extremadamente sensible.
Una nueva investigación examina la información que puede filtrarse durante las filtraciones de datos hospitalarios.Investigaciones recientes identifican qué tipos de información roban los piratas informáticos durante una filtración de datos en un hospital.
Investigadores de la Universidad Estatal de Michigan (MSU) en East Lansing y la Universidad Johns Hopkins en Baltimore, MD, revelaron qué tipos de datos se filtran de servidores seguros durante las violaciones de datos hospitalarios. Publicaron su estudio en el Annals of Internal Medicine.
Este tipo de violación de datos puede tener graves consecuencias para las personas cuya información obtienen los piratas informáticos, dice John (Xuefeng) Jiang, autor principal y profesor de contabilidad y sistemas de información de MSU. Agrega que no siempre es el fraude financiero o el robo de identidad lo que ocurre como resultado. También puede dar lugar al uso indebido de información médica confidencial.
Potencial de fraude, robo de identidad y más
“La principal historia que escuchamos de las víctimas fue cómo la información confidencial y comprometida causaba pérdidas financieras o de reputación”, dice el profesor Jiang. "Un delincuente puede presentar una declaración de impuestos fraudulenta o solicitar una tarjeta de crédito utilizando el número de seguro social y las fechas de nacimiento filtradas por una filtración de datos del hospital".
Esta es la primera investigación que ha revelado detalles sobre los tipos y la cantidad de información de salud pública obtenida a través de incidentes de piratería. Los investigadores estiman que las 1.461 violaciones de datos que tuvieron lugar durante 10 años entre 2009 y 2019 afectaron a 169 millones de personas.
Para identificar qué datos estaban en riesgo, los investigadores dividieron la información en una de tres categorías: información demográfica, que incluye nombres y direcciones de correo electrónico; información financiera, incluida la fecha del servicio, el monto de facturación y la información de pago; e información médica, que incluye elementos como diagnósticos y tratamientos.
Los autores del estudio desglosaron aún más la información demográfica al clasificar los números de seguro social y las fechas de nacimiento en "información demográfica confidencial" y la información financiera, que incluía tarjetas de pago y datos bancarios, en "información financiera confidencial".
Estas categorías están listas para ser explotadas por aquellos que quieran cometer robo de identidad o fraude financiero.
Conocer el objetivo es una parte clave de la batalla.
Para información médica comprometida, los investigadores colocaron diagnósticos específicos y opciones de tratamiento en una categoría de “información médica sensible”. Estos incluyeron estado del VIH, enfermedades de transmisión sexual, abuso de sustancias, salud mental y cáncer. Estos tenían el potencial de graves violaciones de la privacidad de las personas involucradas.
Alrededor del 70% de las violaciones de datos involucraron información demográfica o financiera sensible. Esto significa que el robo de identidad y el fraude financiero pueden ser el objetivo de la mayoría de los que piratean este tipo de información.
Sin embargo, 20 de las violaciones de datos comprometieron información médica confidencial, lo que afectó a alrededor de 2 millones de personas.
“Sin entender lo que quiere el enemigo, no podemos ganar la batalla”, dice Ge Bai, profesor asociado de contabilidad en Johns Hopkins Carey Business School y Bloomberg School of Public Health. "Al conocer la información específica que buscan los piratas informáticos, podemos intensificar los esfuerzos para proteger la información de los pacientes".
Pasos futuros e implicaciones del estudio
Los involucrados en este estudio recomiendan que los reguladores, como el Departamento de Salud, hagan un esfuerzo para recopilar formalmente los tipos de información que se filtran durante una violación de datos e informar al público.
Dicen que esto ayudará a los afectados a evaluar los posibles daños. Además, las instituciones que tienen recursos limitados podrían tomar medidas para limitar la cantidad de información accesible a una posible violación de datos. Por ejemplo, podrían almacenar información financiera y demográfica en diferentes servidores.
Los investigadores dicen que otra área de preocupación involucra al Departamento de Salud y Servicios Humanos y al Congreso. La organización ha introducido recientemente nuevas reglas para fomentar un mayor intercambio de datos. Según los investigadores, el intercambio de datos tiene el desafortunado efecto secundario de aumentar el riesgo de filtraciones de datos.
Sin embargo, ya existen planes para que el profesor Jiang y Bai trabajen con legisladores y organizaciones para garantizar que la información personal sea lo más segura posible.