Hay mucho interés en utilizar las historias clínicas electrónicas y los teléfonos móviles para hacer investigación clínica, y todas las formas de consentimiento informado prometen mantener la confidencialidad de la información y respetar la privacidad de los pacientes. Una nota publicada por Katie Palmer en Statnews [1] explica las vulnerabilidades de la tecnología electrónica y lo fácil que resulta vulnerar los derechos de los pacientes.
Según esa nota, la hacker y analista de ciberseguridad Alissa Knight consiguió acceder a las historias clínicas de más de cuatro millones de pacientes aprovechando las vulnerabilidades de las interfaces de los programas de aplicaciones (IPAs) que utilizan los agregadores de datos, y las aplicaciones asociadas que dan seguimiento al uso de medicamentos y comparten las historias clínicas de los pacientes. Las historias clínicas incluyen datos demográficos, resultados de laboratorio, medicamentos, procedimientos, alergias, etc. En conjunto, las herramientas utilizadas pueden leer y escribir datos en los principales sistemas de historias clínicas electrónicas (HCE).
Los agregadores de datos pueden acceder a las IPAs de diversas HCEs, estandarizar los códigos médicos de varios sistemas, eliminar los registros duplicados y, en general, limpiarlos para que sean más utilizables. Esto es especialmente importante cuando los pacientes podrían estar utilizando proveedores de varios subsistemas de salud. Al agregar la información procedente de diferentes fuentes, pueden ser muy útiles para los profesionales de la salud, los que pagan por los servicios y los que se dedican a la investigación clínica.
Knight empezó analizando las vulnerabilidades en las IPAs creadas por las propias empresas de HCE, que utilizan la plataforma abierta Fast Healthcare Interoperability Resources (FHIR). Estas IPAs permiten unificar los datos recogidos por diferentes sistemas y apoyar la interoperabilidad. Pero cuando no encontró ningún punto débil en estos sistemas, empezó a probar las IPAs que también utilizan la plataforma FHIR pero que habían construido agregadores de datos contratados por terceros, y que también interactúan con las HCE, así como con una amplia gama de aplicaciones que los desarrolladores han construido sobre esas IPAs. Ahí es donde los datos de los pacientes empezaron a salir a borbotones.
Lo preocupante es que Knight “No tuvo que utilizar técnicas avanzadas de ciberseguridad…Sólo utilizó cosas básicas que los especialistas aprenden durante el primer año de estudios en ciberseguridad”.
En este entorno, los agregadores podrían ser dianas más interesantes que las empresas más grandes y seguras de donde extraen los datos. Las vulnerabilidades descubiertas por Knight no son específicas de las IPAs de los agregadores, las había encontrado anteriormente en 30 aplicaciones móviles de salud (La gran mayoría presentaba fallos de seguridad básicos que le permitían descargar los historiales completos de los pacientes, los resultados de los laboratorios y las imágenes de radiología, por no hablar de la información personal identificable, como direcciones, parientes, fechas de nacimiento y números de la seguridad social). En otra aplicación creada para la participación de los pacientes, el punto final de la IPA envió a Knight toda su base de datos. “Es la cosa más asombrosa que he visto nunca”, dijo Knight. “Fui a la IPA, introduje mis credenciales y, cuando inicié la sesión, la IPA empezó a enviarme todos los datos de los pacientes y de los médicos. Ni siquiera hay que hackear nada”.
Palmer, Knight y los defensores de la norma FHIR hicieron hincapié en que el trabajo no encontró ninguna vulnerabilidad en las API de FHIR creadas por las empresas de HCE o los proveedores. Además, afirmaron que no es que estén descubriendo vulnerabilidades a causa de FHIR; sino que FHIR está permitiendo esta conectividad y portabilidad de datos y ofrece una plataforma. Hay que estudiar cómo hay que responsabilizar a los que ofrecen estos servicios a terceros para que mantengan la seguridad de los datos de los pacientes.
Fuente original