robo de datos médicos

Qué hacer si roban tus datos médicos:
Guía para protegerte

Noticias y Novedades

Los datos médicos son un blanco codiciado para ciberdelincuentes. Te explicamos cómo minimizar los daños si se filtran tus historiales médicos.

 

La transformación digital está ayudando a los proveedores de salud a ser más rentables y a mejorar los niveles de atención a los pacientes. Sin embargo, la digitalización de los historiales médicos también conlleva importantes riesgos cibernéticos. Una vez que tus datos médicos se almacenan en sistemas informáticos accesibles a través de Internet, pueden filtrarse accidentalmente o ser accesados por terceros malintencionados, o incluso por personas con información privilegiada.

Los datos médicos figuran entre la información más sensible que compartimos con las organizaciones. Por ejemplo, el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés) les otorga el estatus de «categoría especial», lo que implica que deben contar con protecciones adicionales.

No obstante, ninguna organización es 100% a prueba de filtraciones. Esto hace aún más importante saber qué hacer si tus datos se ven comprometidos para poder minimizar las consecuencias.

 

El peor escenario

 

En los primeros 10 meses de 2023 en EE.UU., más de 88 millones de personas vieron expuestos sus datos médicos, según cifras del gobierno estadounidense. La cifra podría ser aún mayor si se tienen en cuenta las organizaciones no reguladas por la ley de privacidad del paciente HIPAA.

Entre los incidentes más destacados de los últimos años figuran:

– Change Healthcare, que sufrió una importante brecha de ransomware en febrero de 2024. El proveedor de servicios sanitarios estadounidense no sólo experimentó una importante interrupción operativa, sino que sus atacantes (Black Cat/ALPHV) también afirmaron haber robado 6 TB de datos durante el ataque. Aunque el grupo de ransomware se cerró poco después de que Change Healthcare pagara un supuesto rescate de 22 millones de dólares, la filial del ransomware responsable del ataque intentó extorsionar de nuevo a la empresa, amenazando con vender los datos al mejor postor.

– La empresa de salud mental Cerebral filtró accidentalmente en Internet información médica muy delicada sobre 3,1 millones de personas. La empresa admitió el año pasado que llevaba tres años compartiendo inadvertidamente datos de clientes y usuarios con «plataformas de terceros» y «subcontratistas» a través de una tecnología de marketing mal configurada.

 

¿Qué está en juego?

 

Entre los datos médicos que pueden estar en peligro se encuentran:

1) Números de póliza de seguro médico, o similares

2) Información personal identificable (IPI), como el número de la Seguridad Social, la dirección postal y de correo

electrónico y la fecha de nacimiento

3) Contraseñas de cuentas médicas, financieras y de seguros

4) Historial médico, incluidos tratamientos y recetas

5) Información sobre facturación y pagos, como datos sobre tarjetas de crédito y débito y cuentas bancarias

Esta información podría ser utilizada malintencionadamente para cargar facturas en tu tarjeta de crédito, abrir nuevas líneas de crédito, acceder a cuentas bancarias y vaciarlas, o hacerse pasar por ti para obtener servicios médicos y medicamentos caros. En Estados Unidos, los historiales médicos podrían utilizarse incluso para presentar declaraciones de la renta fraudulentas con el fin de obtener reembolsos. Y si hay información sensible sobre tratamientos o diagnósticos que preferirías mantener en secreto, podrían incluso intentar chantajearte.

 

8 pasos a seguir tras una violación de datos

 

Si te encuentras en el peor escenario y se confirma una brecha de datos en una institución o servicio al que asistes como paciente, o incluso personal de salud, es importante mantener la cabeza fría y seguir estos pasos:

 

1) Comprobá la notificación

 

Lee detenidamente el mensaje que te llegue informando sobre un incidente que afecte tus datos. Sea un correo electrónico, una mensaje de Whatsapp, o cualquier otro medio, siempre chequea si adviertes los indicios más comunes de que puede ser una comunicación fraudulente como las faltas de ortografía y gramaticales o el pedido urgente de información personal, por ejemplo, pidiéndole que «confirmes» tus datos. Observa bien el remitente para chequear con los canales de comunicación legítimos de la intitución, y verifica links o archivos que se adjunten.

 

2) Averigüá los detalles sobre el incidente

 

El siguiente paso fundamental es conocer tu exposición al riesgo. ¿Qué información se ha visto comprometida exactamente? ¿Se trata de una exposición accidental de datos, o han sido terceros malintencionados los que han accedido a ellos y los han robado? ¿A qué tipo de información se ha podido acceder? ¿Estaba cifrada? Si la institución o proveedor de servicio no ha respondido adecuadamente a estas preguntas, comnunicate para obtener la información que necesita para dar los siguientes pasos. Si aún no está claro, considera el peor escenario para tomar medidas más fuertes.

 

3) Supervisá tus cuentas

 

Si actores maliciosos han accedido a tu información personal y médica, pueden venderla a estafadores o intentar utilizarla ellos mismos. En cualquier caso, vale la pena vigilar cualquier actividad sospechosa, como facturas médicas por servicios que no usaste o notificaciones que indiquen que llegaste a un límite de prestaciones. También chequear las transacciones bancarias y con tarjeta. Algunas organizaciones ofrecen supervisión gratuita del crédito, que notifica al usuario cuando se producen cambios en sus informes crediticios, puedes usar estos servicios para advertir posibles movimientos sospechosos.

 

4) Informá las actividades sospechosas

 

Si detectas cualquier actividad sospechosa o error de facturación infórmalo al proveedor. Lo mejor es hacerlo por escrito, además de notificarlo por correo electrónico/teléfono, u otros medios habilitados.

 

5) Congelá tus informes crediticios y suspende tus tarjetas

 

Dependiendo de la información personal que haya sido comprometida, es una buena opción congelar tus información crediticia, si cuentas con esta opción. De este modo no podrán aprobarse créditos en tu nombre, al no poder comprobar tus informes y evitarás que los cibercrimales utilicen tu infromación para sacar créditos fraudulentos. Lo mismo haz con tus tarjetas de crédito, inactivalas o solicita nuevas emisiones, generalmente desde la aplicación de la entidad financiera puedas hacerlo facilmente.

 

6) Cambiá tus contraseñas

 

Si tus datos de acceso se han visto comprometidos en una brecha, el proveedor correspondiente debería restablecerlos automáticamente. Pero si no es así, puedes hacerlo manualmente para mayor tranquilidad. Esto evitará intentos de apropiación de la cuenta, especialmente si mejora su seguridad mediante la autenticación de dos factores.

 

7) Mantenete alerta

 

Cuando los estafadores se apoderan de tu información personal y médica, pueden intentar utilizarla en posteriores ataques de phishing por correo electrónico, mensajes de texto o incluso llamadas telefónicas. El objetivo es utilizar la información robada para añadir legitimidad a las solicitudes de más información personal, como datos financieros. Si alguien intenta extorsionarle con la amenaza de revelar datos médicos confidenciales, solo queda ponerte en contacto con la policía inmediatamente.

 

8) Considerá la posibilidad de emprender acciones legales

 

Si tus datos fueron comprometidos por negligencia de su proveedor de asistencia sanitaria y dependiendoe de la jurisdicción y de las leyes locales de protección de datos/privacidad, podría corresponderte recibir algún tipo de indemnización. Lo mejor es asesorarse con un experto legal sobre una posible demanda.

 

Sin final a la vista

 

Dado que los historiales médicos pueden alcanzar un precio 20 veces superior al de los datos de las tarjetas de crédito en el mercado clandestino de la ciberdelincuencia, es poco probable que los ciberdelincuentes dejen de atacar a las organizaciones sanitarias en un futuro próximo. Su capacidad para forzar pagos multimillonarios a través del ransomware convierte al sector en un objetivo aún más atractivo. Por eso es necesario estar preparado para lo peor y saber exactamente qué hacer para minimizar los daños a la salud mental, la privacidad y las finanzas.

 

 

Lee el artículo completo en el siguiente enlace:

Qué hacer si roban tus datos médicos

 

Encontrá más información en este artículo de interés:

Ciberseguridad 2025: IA generativa y amenazas a tecnologías operativas

 

×