¿Qué tipos de hospitales experimentan filtraciones de datos?
Se estima que se han robado 16 millones de registros de pacientes en los Estados Unidos en el 2016, y el verano pasado el sistema de salud británico fue afectado por un ataque de ransomware. Aunque sabemos que estos eventos están incrementándose, ¿qué sabemos de los hospitales que son vulnerables a estos ataques?
Un estudio en el "American Journal of Managed Care" planteó esta pregunta, y descubrió que mientras los ataques en la red en los encabezados de los medios afectan a millones de personas, un problema más mundano, como la eliminación incorrecta de documentos o robo de registros impresos de pacientes, pasa más frecuentemente, aunque menos personas resultan afectadas en cada caso. 
Investigadores dirigidos por el Dr. Meghan Hufstader Gabriel, quien es profesor asistente en el Colegio de Salud y Asuntos Públicos de la Universidad Central de Florida, realizaron estos hallazgos por medio de una revisión sistemática de registros de la Oficina de Derechos Civiles (OCR por sus siglas en inglés) en el Departamento Estadounidense de Salud y Servicios Humanos.
Gabriel, quien anteriormente fue un economista en la Oficina del Coordinador Nacional para las Tecnologías de la Información de la Salud, y sus colegas investigadores examinaron los datos reunidos entre octubre del 2009 y julio del 2016. Estudiaron hospitales de cuidados intensivos no federales.
Mientras que la OCR rastrea intrusiones que afectan a más de 500 personas y multa a sistemas de salud por violaciones, fue el equipo de Gabriel quienes estudiaron los registros y describieron qué tipos de hospitales son los más (o menos) propensos a experimentar una intrusión.
Las laptops resultaron ser la mayor fuente de pérdida de datos durante el periodo del estudio, superando por mucho a los registros electrónicos de salud (EHR por sus siglas en inglés) en cantidad de intrusiones. Hubo 51 incidentes de laptops perdidas o robadas que afectaron a 380,699 personas. En comparación, hubo 19 intrusiones de EHR que afectaron a 44,805 personas.
Las intrusiones en servidores de red rara vez ocurren, pero cuando lo hacen los efectos son grandes: 10 intrusiones en el periodo del estudio afectaron a 4.6 millones de personas.
Entre otros hallazgos:
- Durante el periodo que duró el estudio (7 años), hubo 215 intrusiones en 185 hospitales de cuidados intensivos no federales que afectaron a 500 o más personas; 30 hospitales tuvieron más de una intrusión, y un hospital tuvo cuatro intrusiones.
- Los hospitales de enseñanza y hospitales pediátricos fueron los más propensos a experimentar intrusiones.
- Los hospitales grandes (más de 400 camas) fueron más propensos a experimentar intrusiones que los pequeños (menos de 100 camas) o medianos (100 a 399 camas).
- Los hospitales privados fueron menos propensos a tener intrusiones de datos.
Los autores notaron que los hospitales estuvieron gastando grandes cantidades de dinero durante el periodo del 2009-2016 actualizando sus sistemas de tecnologías de información para cumplir los requerimientos de los EHR, con menos cantidad gastada en seguridad. Los autores notaron el cambio de las amenazas hacia los sistemas de cuidado de la salud; los hackers ya no están interesados en vender datos, sino en amenazar con apagar los sistemas a menos que se les pague un rescate.
"Las auditorías rutinarias requeridas por la cobertura de los ciber-seguros podrían ayudar a las instalaciones de cuidado de la salud a reconocer y reparar sus vulnerabilidades antes de que ocurra una intrusión," concluyeron los autores.