La utilización de sistemas informáticos en hospitales y centros sanitarios no es nada nuevo. Se utiliza para categorizar información, acceder a datos críticos y complementarios sobre las enfermedades y almacenar bases de datos. En el caso de algunos hospitales españoles la teoría es así de bonita. ¿La práctica? Un agujero de seguridad.
Gizmodo en Español ha hablado con médicos de varios hospitales y expertos en seguridad informática y el denominador común es más o menos constante: los sistemas de protección están o mal diseñados desde el principio o bien se vienen abajo por errores humanos no supervisados. Eso deja completamente al aire la información entre médico y paciente, una información que, según el artículo 8 de la Ley Orgánica de Protección de Datos, es de carácter estrictamente confidencial.
¿Qué datos son los que se pueden vulnerar en un hospital? Desde los más genéricos como residencia, número de teléfono y edad a otros más comprometidos como enfermedades, alergias, tratamientos, informes psicológicos o enfermedades venéreas. ¿Cómo y qué está fallando?
Así es la seguridad en un hospital
Desde un punto de vista de seguridad, la mayoría de sistemas de gestión electrónica en hospitales están concebidos como una fortaleza aislada que realiza determinadas concesiones y conexiones con el exterior según la situación. Dicho de otro modo, una parte del tráfico y de la gestión de la red es completamente interna (una intranet) pero otra no está 100% aislada, y puede accederse desde el exterior.
¿Qué datos van a cada parte? A la intranet se destinan de manera exclusiva normalmente los archivos y datos relativos al funcionamiento interno del hospital: consentimientos informados, altas médicas, solicitudes y protocolos. Desde fuera se puede acceder a la información más clínica (y más sensible): datos personales, alergias, tratamientos anteriores, tratamientos actuales y consideraciones médicas variadas.
En teoría, ese acceso desde “fuera” no es completamente libre, sino que se limita a los demás hospitales pertenecientes a la misma red: “En cuanto a los datos de los pacientes, sólo podemos acceder los médicos desde dentro del hospital, no desde nuestras casas, utilizando una clave propia y contraseña. Eso sí, podemos acceder a los datos de otros hospitales de la misma red, en nuestro caso la comunidad de Madrid. Es lo que se conoce como Red Horus” matiza un médico del hospital madrileño de La Paz, que prefiere mantener su anonimato para hablar con plena transparencia, en conversación telefónica con Gizmodo en Español “Me consta que determinadas personas dentro del hospital, como cargos de alta responsabilidad y cierto personal de IT, sí pueden acceder telemáticamente aunque no estén físicamente en la red del hospital. A toda ella”, añade.
El sistema Horus, y similares, llevan funcionando desde hace aproximadamente un año en algunas partes de España y en otros países como Brasil.
Ahí comienzan los problemas, afirma el experto en seguridad David Barroso, CTO de Eleven Paths: “En el momento en el que algo sale de esa red interna, comienzan las posibles vulnerabilidades, así como los protocolos determinados que han de seguirse”.
“Mi clave es 1234. Y no sé cambiarla”
Imagen: Dario Lo Presti/Shutterstock
El problema con esto es que la mayoría de medidas de seguridad para evitarlo son muy pobres. “Por ejemplo, desde hace unos 3 años, los datos de acceso que se generan para cada médico son su DNI más 1234. La mayoría de doctores no sabe cambiarla o IT pasa del tema, así que así se quedan”, explica otro doctor consultado, del Hospital Gregorio Marañón de Madrid. “Yo también me sé los datos y las claves de varios compañeros. Y ellos la mía”.
Ocurre también en el caso de médicos residentes (cuyos permisos no son tan completos como la de los médicos adjuntos, fijos, del hospital) que conocen la clave de su adjunto responsable para realizar gestiones por su cuenta.
Según Barroso, “el problema aquí es que el diseño del sistema en sí, ya es pobre. Desde un punto de vista de seguridad algunos de estos hospitales están atrasados 10 años. Todo ese tiempo nos ha enseñado en materia de seguridad que normalmente esos protocolos o no se cumplen desde el departamento de seguridad, como es el caso, o tienen que ir complementado con una tarjeta de seguridad o mejor: con una medida biométrica como una huella dactilar”.
El DNI de una persona normal, como un doctor, no suele ser demasiado complicado de averiguar. Si es un cargo público, puede consultarse a partir de información como su examen de acceso para médico interno residente (MIR) o su oposición, por ejemplo.
Puesto que la información entre médico y paciente es confidencial, normalmente existen ciertos protocolos de seguridad en Horus para que se justifique el acceso a esa información. “Si yo accedo mediante el sistema a la información de un paciente en otro hospital, hay un formulario que me pide que explique el por qué de esos motivos” explica el doctor del hospital Gregorio Marañón. La teoría es que, independientemente de donde haya sido tratado dicho paciente, este pueda saltar entre diversos centros y especialistas sin necesidad de que la historia clínica deba ser trasladada con él.
La práctica es, en realidad, que el acceso a esos datos se realiza de manera mucho más habitual. “Si por ejemplo llega alguien a urgencias con una sobredosis o expresando no saber muy bien qué pastillas tiene prescritas, yo automáticamente tiro de Horus para confirmar que el paciente no presenta alergias, ya que en muchas ocasiones los pacientes no son capaces de concretar tanto la medicación que toman en el momento actual como posibles reacciones que presentan ante la toma de determinados medicamentos y es un riesgo que no se debe asumir”, explica el segundo doctor consultado. “Y no creo que nadie mire los motivos de esa consulta caso por caso, sería imposible, únicamente queda como registro por si posteriormente hay algún problema. La mayoría de las veces se mete algo genérico”.
El factor humano
Además de todo esto, está el hecho de que los médicos, inmersos en su rutina diaria, no suelen preocuparse mucho por cosas como identificadores o inicios de sesión. Según varias fuentes consultadas, el 90% de los médicos dejan frecuentemente su sesión en el sistema totalmente abierta y otros que llegan después la utilizan sin miramientos.
“Si yo llego a un terminal con la sesión ya iniciada, algunas vez las consultas y los informes los genero desde ahí”, explica un facultativo. Lo delicado es que si se imprimen o comparten, en esos informes el identificador es del médico con la sesión iniciada, no la del médico que lo generó en primer lugar.
Ninguno de estos problemas, aparentemente, salta en auditorías de seguridad. “Auditorías a las que en teoría están obligados puesto que han de acogerse a la Ley de Protección de datos”, señala David Barroso. “Por otro lado, hay informes que demuestran que en algunos de esos hospitales conectarse a la red es tan simple como enchufar un cable de red a una toma en la pared”. Esas tomas están hasta en las habitaciones. “Desde ahí se podría incluso montar un generador WiFi para acceder desde fuera, u operar directamente en la red del hospital”
Qué ocurre cuando esos datos se roban
Un buen ejemplo lo vimos en agosto de 2014. Una de esas grandes redes de hospitales, Community Health Systems en Estados Unidos, fue comprometida desde el exterior supuestamente por un acto de ciberespionaje proveniente desde China. Community Health Systems abarca una red de 206 hospitales, con datos de 4 millones y medio de pacientes.
Los atacantes tuvieron acceso a toda la información de las historias clínicas, que incluye: su nombre, su dirección, su fecha de nacimiento, el número de teléfono y el número de la seguridad social. “No puedo hablar por el caso de Estados Unidos” añade un doctor del Hospital de Salamanca al ser consultado “pero en España además suelen incluirse datos como números de teléfonos de contacto que incluyen también a amigos y familiares”.
Según la ley estadounidense, no existe obligación de notificar a los afectados en caso de un compromiso de la seguridad de este tipo, aunque Community Health Systems sí lo hizo. En España tampoco hay ley que lo obligue, ni siquiera en la Sanidad pública. Viendo las medidas anteriormente descritas, es una posibilidad completamente plausible.
El robo de Community Health Systems se produjo por culpa de un virus, que llegó hasta el hospital probablemente a través de la memoria USB de uno de los doctores. En 2007, un caso similar ocurría en Burgos, España cuando otro virus tumbó toda la red informática del Hospital General Yagüe de Burgos. En 2009 ocurrió lo mismo con toda la red de la Comunidad de Madrid. También en Castilla y León. Y en el Hospital Puerta de Hierro.
Otro de los problemas, también grave, es que una vez comprometidos los sistemas de seguridad se podrían controlar remotamente dispositivos como las bombas que administran medicamentos, cuyas librerías de seguridad no están firmadas y pueden modificarse a voluntad, tal y como recoge Wired. Gizmodo en Español no ha encontrado pruebas de que el fabricante de esas bombas, Hospira, opere también en España.
Un tipo diferente de epidemia
En definitiva, cuando estos ataques se producen, la mayoría de sistemas del hospital deben ser intervenidos, y no sólo ordenadores. Es un proceso largo y tedioso, que implica en muchos casos remover el malware de cada uno de los equipos afectados. Si a eso añadimos todo el tratamiento de datos indebido, que viola las leyes más básicas de privacidad, el resultado es una situación bastante preocupante.
Es, irónicamente, una “epidemia” diferente que se produce en centros destinados precisamente a combatirlas. La realidad es que, hoy por hoy, siguen sin estar preparados para combatirla. Y todos podemos pagar por ello.
***
Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)