Miniatura iluminada en color oro sobre una placa de circuitos oscura, con los circuitos en naranja y azul brillantes

Datos en tránsito protegidos

Si tiene algo que ver en la protección de los datos de organizaciones de atención sanitaria, algo que se estará preguntando es por qué la normativa y la responsabilidad legal juegan un papel tan importante en influir en las tecnologías de datos en tránsito elegidas por su entidad. Uno de los mayores factores de estrés en cuanto a la TI del sector sanitario es la importancia de cumplimiento de las normas de protección de los datos, como por ejemplo la HIPAA (Healthcare Insurance Portability and Accountability Act, Ley de Portabilidad y Responsabilidad de Seguros de Salud).

Este estrés no carece de fundamento: en general, hasta el momento las vulneraciones de datos sanitarios han sido las más caras y perjudiciales, no solamente a nivel monetario, sino también de reputación. El coste promedio de una vulneración de datos en el sector sanitario creció desde los 7,13 millones de dólares en 2020 hasta los 9,23 millones en 2021, en comparación con el promedio global de 3,86 millones en 2020 y 4,24 millones en 2021.

Tan severa es la normativa que se castigan incluso potenciales quebrantamientos de la HIPAA. En 2019 robaron un portátil y una unidad Flash no cifrados del Centro Médico de la Universidad de Rochester (URMC). Este evento, y la gestión del mismo por parte del URMC, conllevaron un pago de 3 millones de dólares a la Oficina de Derechos Civiles, en el marco de un acuerdo extrajudicial por potenciales vulneraciones de la HIPAA.

Normas de la HIPAA y requisitos de seguridad

La HIPAA tiene tres reglas fundacionales para proteger a los pacientes y a sus datos:

  • Regla de privacidad: protección de datos y documentación sanitaria
  • Regla de notificación de vulneraciones: la manera en que las organizaciones comunican vulneraciones de seguridad a las autoridades y a los pacientes
  • Regla de seguridad: establece normas de seguridad para el almacenamiento y la transmisión de los datos sanitarios protegidos (DSP, o PHI por sus siglas en inglés)
Médico sentado y utilizando una tableta con una aplicación sanitaria, con la interfaz hexagonal de la aplicación superpuesta

Estas reglas garantizan que las organizaciones asuman la responsabilidad por la confidencialidad de los eDSP (DSP electrónicos), así como de anticiparse y protegerlos contra todo tipo de amenazas. Sin embargo, no especifican un protocolo, una tecnología ni una norma específicos para ello. Esto se debe a que, a medida que evolucionan las amenazas a la ciberseguridad, también deben hacerlo las tecnologías de protección de la HIPAA. En lugar de especificar qué protocolos de cifrado eran necesarios —una medida que hubiese desvirtuado la eficacia de la ley al vincularla a tecnologías específicas—, la legislación se limitó a estipular la solidez y fiabilidad de las normas de seguridad empleadas para proteger los eDSP. Esta decisión se tomó por consejo del NIST (National Institute of Science and Technology), con el objeto de que la ley no quedase pronto obsoleta. Las entidades pueden elegir la solución más adecuada a sus circunstancias, y aplicarla a sus sistemas.

La HIPAA estipula diversos requisitos del software de cifrado, en función de si los datos están ‘en reposo’ o ‘en tránsito’.

En reposo: los datos están inactivos, guardados en un disco duro, un disco SSD o un dispositivo como una tableta. Los datos deberían estar protegidos mediante criptografía avanzada, protección integral del disco o disco virtual y cifrado del dispositivo móvil (si procediese).

En tránsito: los datos se mueven activamente entre un remitente y un destino, como por ejemplo por correo electrónico, una transmisión a la nube o entre un servidor y un dispositivo móvil.

El cumplimiento de la HIPAA se hace posible mediante medidas como AES-256, prácticamente imposible de quebrar mediante ataques de fuerza bruta, y homologada para el tratamiento de datos confidenciales por parte del gobierno de EE.UU. TLS (Transport Layer Security, Seguridad de la capa de transporte) es otro protocolo para la transmisión segura de datos, como HTTPS, correo electrónico o mensajería instantánea. Utiliza asimismo AES-256, combinado con otras medidas de seguridad. También OpenPGP (Pretty Good Privacy, Privacidad de la buena) y S/MIME son compatibles con la HIPAA, aunque tienen requisitos de administración pública de claves que dificultan su uso, en comparación con AES-256 y TLS 1.2.

La recomendación habitual es que los sistemas seguros utilicen el cifrado AES-256 para los datos en reposo, y TLS para los datos en tránsito. Sin embargo, las medidas de seguridad no deben limitarse solamente a esto. Es importante identificar y mitigar los puntos débiles de su protección compatible con la HIPAA.

  • Personal y capacitación (ingeniería social): se ha convertido en un cliché... porque es verdad: los humanos son el eslabón más débil de la ciberseguridad, y la afirmación también es válida para el sector sanitario
  • Pérdida o robo de dispositivos: como ya hemos mencionado, la pérdida de portátiles, unidades Flash, teléfonos y otros dispositivos que contienen eDSP puede conllevar indemnizaciones de siete cifras
  • Colaboradores externos: cualquier proveedor externo de servicios informáticos o de alojamiento en la nube que maneje eDSP debe tener el mismo compromiso para con las normas de seguridad técnicas como el proveedor o el servicio sanitario con quien colaboren
  • Sistemas/servidores de correo electrónico no protegidos: si alguna persona de su organización todavía utiliza clientes o servidores de correo electrónico no protegidos, suprímalos
  • Cifrado defectuoso: los avances de la tecnología informática, en especial la cuántica, implican que las antiguas normas de cifrado consideradas suficientemente seguras pueden ser, de hecho, peligrosamente porosas para los ciberdelincuentes modernos
  • Claves y certificados de cifrado obsoletos: las claves de cifrado que se utilizan más allá del ciclo de vida recomendado por NIST, o después de una vulneración de datos, pueden dejar a las organizaciones abiertas al peligro

Las protecciones técnicas previstas por la HIPAA pueden ser confusas, porque los requisitos de cifrado se denominan ‘direccionables’. El lenguaje relativo al cifrado de los DSP es vago: “…las entidades deberían implementar un mecanismo para cifrar los DSP cuando ello se considere apropiado”.

En este contexto, ‘accesible’ significa que debería implementarse una protección, o una alternativa equivalente, o bien documentar un motivo que justifique no haber utilizado la protección. Por ejemplo, las comunicaciones internas a través de un servidor interno protegido por un cortafuegos no suelen suponer un riesgo para la integridad de los DSP procedente de fuentes externas. Sin embargo, ahora las comunicaciones que contienen eDSP que salen fuera de la entidad protegida por cortafuegos deben estar sujetas a una protección direccionable.

Símbolo de ciberseguridad con un candado en la pantalla de un portátil moderno

Las entidades solamente pueden transmitir eDSP por correo electrónico a través de redes abiertas solamente si están adecuadamente protegidos. Debe realizarse un análisis de seguridad para identificar los riesgos para la confidencialidad, integridad y disponibilidad de los eDSP, de modo que debe prepararse un plan de gestión de riesgos para reducirlos hasta un nivel admisible.

El cifrado universal de mensajes es un método habitual de gestión de riesgos, aunque pueden utilizarse niveles de protección equivalentes en lugar del cifrado.

Al igual que los portátiles y unidades Flash perdidos o robados, también los dispositivos móviles personales en el lugar de trabajo pueden socavar la integridad de los DSP. Aproximadamente 4 de cada 5 profesionales sanitarios utilizan una tableta para gestionar sus flujos de trabajo. Prohibir el uso de dispositivos no cifrados en las organizaciones sanitarias podría causar enormes trastornos en las comunicaciones, así como en otros aspectos del sector.

Algunas plataformas de mensajería ofrecen una posible solución a este problema, ya que cumplen los requisitos de cifrado de la HIPAA encriptando los DSP tanto en reposo como en tránsito. Las comunicaciones que contienen DSP resultan indescifrables si son interceptadas o si acceden a las mismas personas no autorizadas. Las soluciones de mensajería seguras no solamente cumplen los requisitos de cifrado de correos electrónicos de la HIPAA, sino también los requisitos de control de acceso, control de auditoría, controles de integridad y autenticación de identidades. Esta solución es mucho más útil que los buscapersonas, ya que permiten compartir de manera segura información médica (incluyendo imágenes).

A medida que avanza la tecnología y la ciberdelincuencia se sofistica, la necesidad de cumplimiento normativo de la HIPAA y de otras leyes para proteger los datos sanitarios en tránsito de los pacientes se hará más acuciante.

#KingstonIsWithYou

Icono «Pregunte a un experto» de Kingston en un chip de placa de circuito

Pregunte a un experto

Para planificar la configuración de memoria adecuada es necesario conocer los objetivos de seguridad de sus proyectos. Permita que los expertos de Kingston le orienten.

Pregunte a un experto

Artículos relacionados