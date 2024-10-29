Una vulneración de datos en el proveedor médico virtual Confidant Health pone de manifiesto la gran diferencia entre la información de identificación personal (PII) por un lado y los datos confidenciales por el otro.
La historia comenzó cuando el investigador de seguridad Jeremiah Fowler descubrió una base de datos no segura que contenía 5,3 terabytes de datos expuestos vinculados a Confidant Health. La empresa ofrece ayuda para la recuperación de adicciones y tratamiento de salud mental en Connecticut, Florida, Texas y otros estados.
La vulneración, denunciada por primera vez por WIRED, involucraba información de identificación personal, como nombres y direcciones de los pacientes, pero también información confidencial, como grabaciones de audio y vídeo de las sesiones de terapia, notas detalladas de ingreso psiquiátrico e historiales médicos completos.
El artículo mostraba lo terriblemente comprometedora que era parte de la información: "Un expediente de admisión de psiquiatría de siete páginas... detalla problemas con el alcohol y otras sustancias, incluida la forma en que el paciente afirmó haber tomado... narcóticos del suministro de hospicio de sus abuelos antes de que el familiar falleciera”, según el artículo. "En otro documento, una madre describe la relación 'polémica' entre su esposo y su hijo, incluyendo que mientras su hijo consumía estimulantes, acusó a su pareja de abuso sexual".
El informe "Cost of a Data Breach" de 2024 de IBM destaca que el 46 % de las vulneraciones implicaron información personal de los clientes. El informe también señala un aumento significativo en el coste por registro de los datos de propiedad intelectual (PI), pasando de 156 a 173 USD.
Pero el nivel de exposición en el incidente de Confidant Health representa una escalada significativa en el daño potencial a las personas afectadas, superando con creces los riesgos asociados con las meras violaciones de PII.
Los ciberatacantes y los actores maliciosos aprecian los datos confidenciales, incluidos los datos médicos, porque pueden utilizarse para ataques de ingeniería social, chantajes selectivos o incluso para vender a competidores o adversarios poco éticos. La naturaleza sensible de la información es precisamente lo que la hace valiosa para la explotación maliciosa.
Para ser claros, la exposición de datos confidenciales como los detalles médicos es un riesgo no solo para el objetivo sino también para su empleador. Los datos pueden utilizarse para chantajear al empleado para que proporcione contraseñas y otros datos que puedan ayudarle en una vulneración de la seguridad de la empresa del empleado.
Los posibles vectores de ataque incluyen:
La reciente vulneración sirve como un recordatorio contundente de la necesidad crítica de medidas robustas de protección de datos, especialmente en entornos sanitarios. Las claves son la exhaustividad y la vigilancia constante.
La protección de la información confidencial en la atención médica y otros entornos exige un enfoque integral.
Implementar controles de acceso y autenticación sólidos es crucial. Esto incluye implementar la autenticación multifactor para todas las cuentas de usuario y crear controles de acceso basados en roles para limitar el acceso a los datos en función de las funciones del trabajo. (Se deben realizar auditorías y revisiones periódicas de los permisos de los usuarios para garantizar una gestión adecuada del acceso).
El cifrado desempeña un papel vital en la protección de los datos confidenciales. Es esencial cifrar los datos tanto en reposo como en tránsito, utilizando cifrado de extremo a extremo para todas las comunicaciones y transferencias de datos. El cifrado de dispositivos debe implementarse para móviles y ordenadores portátiles para proteger los datos en caso de pérdida o robo.
La seguridad de la red es otro aspecto crítico de la protección de datos. La implementación de firewalls de próxima generación y sistemas de detección/prevención de intrusiones ayuda a defenderse de las amenazas externas. La segmentación de la red puede aislar los datos sensibles, mientras que las redes privadas virtuales proporcionan un acceso remoto seguro.
Las medidas de protección de datos deben incluir la implementación de soluciones de prevención de pérdida de datos para monitorizar y controlar el movimiento de datos. El enmascaramiento de datos y la tokenización pueden utilizarse para proteger la información sensible, y las copias de seguridad periódicas con procedimientos de restauración probados garantizan la disponibilidad de los datos en caso de incidentes.
La seguridad de endpoints es importante para protegerse contra malware y otras amenazas. Mantener software antivirus y antimalware actualizado, implementar soluciones de detección y respuesta de endpoints y utilizar la gestión de dispositivos móviles para dispositivos de la empresa.
Desde un punto de vista organizativo, es fundamental desarrollar y aplicar políticas integrales de protección de datos. Esto incluye la implementación de un plan de respuesta a incidentes y el establecimiento de procedimientos claros de retención y eliminación de datos. La formación regular en concienciación de seguridad para todos los empleados, con formación especializada para quienes manejan datos sensibles, ayuda a fomentar una cultura de conciencia de seguridad en toda la organización.
La gestión de riesgos es un proceso continuo que implica la realización periódica de evaluaciones de riesgos y análisis de vulnerabilidades. Debería implementarse un programa formal de gestión de riesgos, con actualizaciones y parches periódicos en todos los sistemas y software.
La gestión de los riesgos de terceros es igualmente importante. Esto implica aplicar procedimientos estrictos de gestión de riesgos de proveedores, garantizar que todos los contratos con terceros incluyan cláusulas de protección de datos y auditar periódicamente el acceso de terceros y las prácticas de tratamiento de datos.
El cumplimiento y la auditoría son componentes críticos de un programa de seguridad sólido. Las organizaciones deben garantizar el cumplimiento de las normativas sanitarias pertinentes, como la HIPAA. Deben realizarse auditorías de seguridad internas y externas periódicas, y deben mantenerse registros detallados de todos los accesos a datos y actividades del sistema.
El gobierno de datos es esencial para una protección de datos eficaz. Esto incluye la implementación de un sistema formal de clasificación de datos, el establecimiento de roles de propiedad, la gestión de los datos, el inventario y el mapeo regular de todos los datos sensibles.
Las capacidades de respuesta a incidentes y recuperación son cruciales para minimizar el impacto de las violaciones de seguridad. Las organizaciones deben desarrollar y probar regularmente un plan de respuesta a incidentes, establecer un equipo dedicado a la respuesta a incidentes e implementar capacidades automatizadas de detección y respuesta a amenazas.
Las medidas de seguridad física no deben pasarse por alto. Asegurar el acceso físico a centros de datos y áreas sensibles, implementar procedimientos adecuados de eliminación de soportes físicos y utilizar sistemas de vigilancia y control de acceso en áreas críticas son aspectos importantes de una estrategia integral de seguridad.
Mediante la aplicación de estas medidas, las organizaciones pueden mejorar significativamente su posición de protección de datos. Sin embargo, es importante recordar que la ciberseguridad es un proceso continuo que requiere una vigilancia constante. Las evaluaciones periódicas y las mejoras del programa de seguridad son esenciales para mantener una protección sólida de la información sensible en el panorama en constante evolución de las ciberamenazas.
A medida que navegamos por un panorama cada vez más digital, este incidente pone de relieve la urgente necesidad de un cambio de paradigma en la forma en que vemos y protegemos los datos confidenciales. Ya no basta con centrarse únicamente en proteger la PII. Las organizaciones deben adoptar un enfoque holístico que reconozca el valor único y la vulnerabilidad de la información personal sensible.