¿Es segura la telemedicina?

En la actualidad, los servicios y las aplicaciones de telesalud están aumentando en popularidad, lo que hace que la disponibilidad de los servicios médicos sea mejor que nunca. Pero ¿cómo de segura es la telemedicina y qué tipo de riesgos conlleva?

Los peligros de la telesalud: filtraciones de datos, phishing y spam

Muchas personas ven la telemedicina como uno de los principales logros del progreso científico: en esencia, puedes obtener una consulta con un médico en cinco minutos sin ni siquiera levantarte del sofá. Pero hay un inconveniente…

Los datos médicos se venden en el mercado negro o gris por muchísimo más que la información de tarjetas de crédito o los datos de inicio de sesión de redes sociales. A diferencia de una tarjeta de crédito que puedes bloquear y reemplazar, no puedes restablecer tu historial médico. Tu nombre, fecha de nacimiento, dirección, número de teléfono, identificación del seguro, diagnósticos, resultados de pruebas, recetas y planes de tratamiento siguen siendo relevantes durante años. Esta es una mina de oro para todo, desde el marketing dirigido hasta el chantaje, el fraude o el robo de identidad.

Y con el auge de la IA, actualmente el Internet está lleno de sitios web falsos que afirman ofrecer servicios médicos, pero en realidad están diseñados para extraer información confidencial de víctimas desprevenidas. Hoy, analizamos qué información médica está en riesgo, por qué los ciberdelincuentes la buscan y cómo puedes detenerlos.

Más valiosos que las tarjetas de crédito

Los estafadores monetizan los datos médicos robados tanto al por mayor como a través de ventas individuales. Su primera medida suele ser extorsionar a las empresas que han hackeado con éxito. (De hecho, en 2024, el 91 % de las fugas de datos de salud relacionados con malware en Estados Unidos fueron consecuencia de ataques de ransomware). Pero luego, los datos filtrados se utilizan para llevar a cabo ataques personales específicos.

Esto permite a los ciberdelincuentes crear el perfil médico de una víctima (qué medicamentos compra, con qué frecuencia y qué toma a largo plazo) para vender esa información a las grandes farmacéuticas o los vendedores, o usarla para estafas de phishing dirigidas (como promocionar un falso tratamiento innovador). Incluso pueden llegar a chantajear a un paciente por un diagnóstico delicado o usar la información para conseguir recetas de sustancias controladas de manera fraudulenta.

Además de eso, las empresas de seguros también están muy interesadas en este tipo de datos. Analizan esta información para aumentar las primas de seguros para los pacientes o, en algunos casos, directamente se niegan a proporcionar cobertura. En resumen, hay muchas formas en que pueden usarla en tu contra.

¿Cómo de malo es en realidad?

La mayor filtración de datos médicos de la historia se produjo en febrero de 2024, cuando el grupo de ciberdelincuentes BlackCat irrumpió en los sistemas de Change Healthcare. Esta es una división de UnitedHealth Group que procesa alrededor de 15 000 millones de transacciones de seguros al año y actúa como intermediaria financiera entre los pacientes, los proveedores de atención médica y las empresas de seguros.

Durante nueve días, los atacantes deambularon libremente por los sistemas internos de Change Healthcare y extrajeron seis terabytes de datos confidenciales antes de lanzar un ataque de ransomware. UnitedHealth se vio obligada a desconectar por completo los centros de datos de Change Healthcare para detener la propagación del cifrador, y terminaron pagando un rescate de 22 millones de dólares a los extorsionadores. El ataque paralizó efectivamente el sistema de salud de EE. UU. El número de víctimas se actualizó tres veces: primero 100 millones, luego 190 millones, y el recuento final llegó a la cifra de 192,7 millones de personas, con daños totales estimados en 2900 millones de dólares. Y la causa (del lado de Change Healthcare) de este incidente masivo, que desglosamos en detalle en otra publicación, fue meramente la falta de autenticación de dos factores en un portal de acceso de escritorio remoto.

Antes de eso, la startup de telesalud de salud mental Cerebral había incorporado herramientas de seguimiento de terceros directamente en su sitio web y aplicaciones. Como resultado, los datos de 3,2 millones de pacientes (incluidos nombres, historiales médicos y de recetas e información de seguros) se filtraron a LinkedIn, Snapchat y TikTok. La Comisión Federal de Comercio de Estados Unidos impuso a la empresa una multa de 7,1 millones de dólares y emitió una prohibición sin precedentes sobre el uso de datos médicos con fines publicitarios. Por cierto, esa misma startup también fue noticia por enviar a sus clientes postales promocionales sin sobres que exponían los nombres de los pacientes y frases que facilitaban que cualquiera pudiera descifrar su diagnóstico.

Por qué la telesalud es tan vulnerable

Echemos un vistazo a los principales puntos débiles de los servicios de telesalud.

  • Rastreadores de anuncios en aplicaciones médicas. Los rastreadores de Facebook, TikTok, Snapchat y otros gigantes de la tecnología a menudo están incorporados directamente a las plataformas de telesalud, lo que filtra datos de los pacientes a los anunciantes sin que los usuarios lo sepan.
  • Canales de comunicación no seguros. A veces, los médicos conversan con los pacientes a través de las típicas aplicaciones de mensajería en lugar de usar plataformas médicas certificadas. Es conveniente, sí, pero es ilegal para la clínica y no es seguro para el paciente.
  • Vulnerabilidades de la plataforma. Las plataformas de telemedicina son propensas a sufrir ataques web clásicos, como inyecciones de SQL que permiten a los ciberdelincuentes volcar bases de datos completas de pacientes, secuestro de sesiones e interceptación de datos cuando el cifrado de la conexión es débil o inexistente.
  • Formación deficiente del personal. Nuestra investigación demostró que el 30 % de los médicos han tratado datos vulnerados de pacientes específicamente durante las sesiones de telesalud, y el 42 % del personal médico no comprende realmente cómo se protegen los datos de sus pacientes.
  • Dispositivos médicos desactualizados. Muchos dispositivos médicos wearables (como monitores cardíacos o brazaletes para la presión arterial) utilizan un antiguo protocolo de transferencia de datos llamado MQTT. Esto está lleno de vulnerabilidades que podrían permitir a los atacantes robar información confidencial o incluso alterar el funcionamiento del dispositivo.

Spam y phishing en la telesalud

Los ciberdelincuentes no son los únicos interesados en el campo de la medicina: los emisores de spam y los estafadores no se quedan atrás. Promocionan “servicios médicos” con ofertas que parecen demasiado buenas para ser verdad, envían correos electrónicos sobre supuestos cambios en tu seguro de salud o promueven “antiguas prácticas de curación del Himalaya”. Por supuesto, todos los enlaces que envían conducen a sitios web sospechosos que ofrecen productos o servicios cuestionables.

Estafadores que promocionan prácticas milagrosas del Himalaya para el tratamiento de la diabetes
Spam que se hace pasar por Medicare, el programa de seguro médico nacional de Estados Unidos. Se informa falsamente al usuario de que los términos de su seguro han cambiado en un intento de llevarle a un sitio web falso
CURAR LA DIABETES ES FÁCIL: lo único que tienes que hacer es…Los estafadores promocionan una especie de práctica milagrosa del Himalaya para tratar la diabetes. Pero lo único que está garantizado aquí es que perderás tu dinero.
Anuncio sospechoso de un remedio para una infección por hongos con un 70 % de descuento
Y claro que no podemos olvidar la clásica "cura milagrosa" para una infección por hongos. Ahora con un 70 % de descuento, por supuesto.

Si terminas en un sitio de phishing de este tipo, los estafadores intentarán extraer toda la información privada que puedan: fotos de tu identificación, póliza de seguro, recetas médicas e incluso fotos de las partes del cuerpo que supuestamente necesitan atención médica. A partir de ahí, estos datos se pueden descargar y vender en la red oscura, o se pueden usar para chantajes, extorsiones y posteriores ataques de phishing. Para obtener más información sobre cómo funciona la línea de montaje de datos clandestina, consulta nuestra publicación: ¿Qué sucede con los datos que se roban mediante phishing?

Sitio web falso de una clínica con un diseño convincente
Un sitio web falso de una clínica con un aspecto bastante convincente. Los estafadores incluso crearon páginas de "personal médico", "departamentos" e "investigación". Sin embargo, por alguna razón, no encontrarás una política de privacidad o condiciones de uso en ninguna parte de este sitio
Una herramienta de diagnóstico de IA recopila una gran cantidad de datos personales
Hay otro sitio web sospechoso que ofrece diagnósticos con IA y solicita una gran cantidad de datos personales: número de teléfono, correo electrónico, servicios médicos solicitados, historial médico y medicamentos actuales
Sitio fraudulento que ofrece exámenes de salud visual a través de un análisis de fotos cargadas de la lengua y los ojos
Este sitio fraudulento ofrece a los usuarios "exámenes de salud visual con IA", ¡solo tienes que cargar fotos de tu lengua y ojos! Recuerda que los escaneos de retina a veces se usan para la autenticación biométrica

Como regla general, los sitios de clínicas falsos suelen omitir la sección de la política de privacidad y te bombardean con ofertas del tipo “solo por hoy” que suenan demasiado buenas para ser verdad. Dicho esto, con la ayuda de la IA, crear un sitio de aspecto profesional que no se distinga del real ahora es muy sencillo. Ni siquiera se necesitan habilidades de diseño o fluidez en el idioma de la víctima. Por esto mismo es que recomendamos usar nuestro paquete de seguridad integral, que está diseñado para detectar spam, estafas y phishing, y advertirte sobre sitios web falsos antes de que accedas a ellos.

Consejos de seguridad para pacientes de telesalud

  • Crea una dirección de correo electrónico separada para los servicios médicos. Si esta dirección se filtra por un ataque de piratería a una clínica, a los estafadores les resultará mucho más difícil rastrear el resto de tu vida digital.
  • Evita usar el inicio de sesión con Google, Apple o redes sociales para sitios de telesalud. Mantener las cosas separadas hace que sea mucho más difícil vincular tus datos médicos a tus cuentas personales.
  • Verifica dos veces qué plataforma se está utilizando para tu consulta. Si la clínica sugiere una llamada o un chat a través de una aplicación de mensajería estándar, es una señal de alarma. Un portal del paciente cifrado y de confianza proporcionado por la clínica es considerablemente más seguro.
  • Nunca envíes documentos médicos a través de aplicaciones de chat o redes sociales. Carga siempre los resultados de laboratorio, análisis e historiales a través del portal oficial del paciente de la clínica.
  • Usa una contraseña única y compleja para cada cuenta. El portal gubernamental, el sitio web de la clínica y la aplicación de reserva de turnos médicos deben tener cada uno una contraseña diferente. Kaspersky Password Manager puede generarlas y almacenarlas todas por ti; y también analiza periódicamente las bases de datos de filtraciones y te advierte si alguna de tus cuentas está en riesgo.
  • Activa la autenticación de dos factores. Haz esto en primer lugar para los servicios gubernamentales y las organizaciones médicas. Recomendamos utilizar una aplicación de autenticación en lugar de códigos SMS: es más segura y totalmente anónima. Kaspersky Password Manager también puede ayudarte con esto.
  • Comparte solo lo necesario. No te sientas obligado a completar todos los campos opcionales en las aplicaciones médicas o en los sitios web. Cuantos menos datos almacena un servicio, menos hay para filtrar.
  • Ten cuidado al compartir información de salud en redes sociales o aplicaciones de chat. A los estafadores les encanta explotar a las personas cuando son vulnerables. Por ejemplo, en 2024, los ciberdelincuentes se ganaron la confianza del desarrollador de XZ Utils que había hablado públicamente sobre el agotamiento y la depresión. Lo convencieron de que entregara el control de su herramienta, que luego llenaron de código malicioso. Dado que XZ Utils se usa en muchos sistemas Linux y afecta a OpenSSH (un protocolo para conexiones de servidores remotos), el ataque podría haber afectado a una gran parte del Internet si no se hubiera detectado a tiempo.
  • No instales aplicaciones de telesalud de desarrolladores desconocidos. Consulta las reseñas y tómate un minuto para leer la política de privacidad, ya que incluso las principales plataformas podrían estar compartiendo tus datos con terceros.
  • Revisa tu historial médico. Si notas recetas extrañas, visitas al médico que nunca hiciste o medicamentos de los que nunca has oído hablar, puede ser una señal de que tu cuenta se ha visto vulnerada.
  • Configura y actualiza tus dispositivos de salud con regularidad. Las pulseras deportivas, los monitores de presión arterial, las básculas inteligentes y los rastreadores de actividad envían datos a la web. Una configuración incorrecta o vulnerabilidades no reparadas son una puerta abierta a las filtraciones de datos.

Qué más debes saber para proteger tu salud en línea:

Consejos
  • Para el resto de países