El pasado lunes 31 de julio, se publicó en el Boletín Oficial el Decreto 393/2023 que reglamenta Ley 27.706. Dicha ley, sancionada en febrero pasado, tiene como objetivo establecer el Programa Federal Único de Informatización y Digitalización de Historias Clínicas de la República Argentina. En pocas palabras, un sistema electrónico que recogerá los datos clínicos del paciente desde su nacimiento hasta su muerte, registrando toda intervención médica que realicen los profesionales y auxiliares de la salud en el país.
Esta historia clínica digital incluirá diferentes elementos, como certificados de vacunación, estudios y prácticas realizadas, rechazadas o abandonadas, prescripciones dietarias, protocolos quirúrgicos e indicaciones médicas. De esta manera, el formato electrónico reemplazará al papel y este expediente podrá ser consultado fácilmente por los distintos centros de salud y profesionales sanitarios desde cualquier lugar del país, además de los propios pacientes, titulares únicos de los datos.
El Ministerio de Salud desempeñará un papel crucial, ya que deberá coordinar con los diversos municipios y provincias para asegurar que todos los hospitales, clínicas y consultorios del país se adapten al nuevo sistema. Además, estará encargado de capacitar al personal sanitario para que sepa cómo usar la plataforma y brindar asistencia técnica y financiera para su implementación.
Si bien aún no hay detalles técnicos sobre la base de datos y de los estándares de seguridad a cumplir, el Ministerio de Salud también será responsable del diseño de un software específico para el registro de las historias clínicas, elaborando un protocolo de carga y garantizando la interoperabilidad en todo el sistema de salud. Durante toda la operación, se priorizarán los derechos de los pacientes, el respeto a la privacidad y la confidencialidad de la información.
Existe un punto crítico en relación a sobre quién recae la responsabilidad de velar por la protección de estas historias clínicas. Según la Ley 27.706, los establecimientos de salud, tanto públicos como privados, y los profesionales titulares de consultorios particulares tendrán a su cargo la guarda y custodia. Esto significa que deberán garantizar la confidencialidad, la integridad y la seguridad de estas historias clínicas, asumiendo el carácter de depositarios y estando obligados a instrumentar los medios y recursos necesarios para evitar el acceso de personas no autorizadas a la información contenida en ellas.
Las miles de terminales e individuos que tendrán acceso al sistema de historia clínica digital plantean un enorme problema de seguridad, solo por el hecho de la expansión de la superficie de ataque que esto significa. Solo en nuestro país, el phishing -un tipo de fraude que busca engañar a la víctima para que revele información personal, como nombres de usuario y contraseña- representó el 72% del total de incidentes de ciberseguridad reportados durante 2022, según datos brindados por la Dirección Nacional de Ciberseguridad. Del mismo informe se desprende que el Estado continúa siendo uno de los sectores más atacados, detrás de los servicios financieros.
“Entiendo que lo que va a tener un médico o un centro de salud va a ser un acceso a una vista en algún lugar en particular, no es que va a tener el dato ahí en la computadora”, explica a Rosario3 Marcela Pallero, ingeniera en sistemas de información y docente de Políticas de Ciberseguridad en el Centro de Estudios de Tecnología y Sociedad (CETyS) de la Universidad de San Andrés. “Una vulnerabilidad en un equipo de un profesional de la salud o de una organización, puede llevar a un acceso un autorizado y finalmente, que se puede acceder a la información de otros”, alerta.
Pero los usuarios, el eslabón más débil en la cadena de la ciberseguridad, son tan solo uno de los puntos donde la herramienta puede mostrar fragilidades. “Sabemos que un problema en un acceso mal dado o una vulnerabilidad en el sistema, en una API que intercambia datos, puede dejar desprotegida mucha información si no se hacen los controles suficientes”, analiza Pallero. “Y la verdad que ese es el problema, que en términos de seguridad de la información a nivel nacional todavía no hay un control exhaustivo de cara a los ciudadanos respecto de la seguridad de los datos y de la información que hay en los organismos públicos”, reflexiona.
En los últimos dos años, las instituciones públicas argentinas han sido un blanco frecuente de ataques cibernéticos. La creciente digitalización de los servicios y la falta de medidas de ciberseguridad adecuadas han dejado expuesta una gran cantidad de información sensible, a lo que se suma la falta de conciencia y educación en ciberseguridad entre los usuarios. Ejemplos de esto incluyen la filtración masiva de datos del Renaper, ataques de ransomware en el Senado de la Nación, en el Ministerio de Economía, en las Fuerzas Armadas y en el Ministerio de Salud, por mencionar solo algunos casos relevantes.
A estas violaciones de seguridad hay que sumarle la más reciente: el ciberataque que desde las primeras horas del martes dejó fuera de servicio al Pami a nivel nacional. La entidad fue víctima de un ransomware, un tipo de software malicioso que encripta la información impidiendo el acceso y exige un pago a cambio de su liberación. Detrás de este golpe está el grupo Rhysida, una organización de ciberdelincuentes que apareció en escena a fines de mayo pasado y que toma su nombre de un tipo de ciempiés que habita en distintas partes del mundo.
Rhysida utiliza distintos métodos para acceder a las computadoras de sus víctimas, entre ellos, campañas de phishing dirigidas. Al igual que otras organizaciones de ciberdelincuentes, pide dinero a cambio de devolver el acceso a la información, amenazando con publicar los datos robados en la dark web. Este grupo se define a sí mismo como un "equipo de ciberseguridad" que, paradójicamente, dice hacer un favor a sus víctimas al atacar sus sistemas y resaltar sus problemas de seguridad. Entre sus víctimas recientes, además del Pami se encuentra el Ejército de Chile, el Ayuntamiento de Arganda, la Universidad de Salerno y la industria química suiza Amstutz Produkte AG. Todos o gran parte de los documentos robados han sido publicados en la web.
“La información clínica y toda información relacionada con los sanitario se considera como información de carácter sensible y de alta criticidad en relación a las personas, a diferencia de lo que puede ser la información financiera”, explica a Rosario3 Roberto Rubiano, ingeniero informático especialista en ciberseguridad y docente de la Tecnicatura Universitaria en Ciberseguridad que se dicta en la Universidad del Gran Rosario. “Por este motivo se busca que esta información sea guardada con los requisitos más altos de seguridad, porque cualquier violación o cualquier brecha de esta información crítica puede representar un atentado grave contra la la privacidad de las personas, de los pacientes y de la población”, remarca.
Es que una vez más, los hechos, implacables, se enfrentan a los propósitos altruistas de la Ley de digitalización de historias clínicas. “Lamentablemente, y a pesar de todo el optimismo que una iniciativa como ésta representa, la realidad nos obliga a reflexionar si realmente estamos en condiciones de soportar la informatización de información tan sensible en manos de infraestructura que ha demostrado, evidentemente, no ser la más eficiente para resguardarla con las condiciones que se requieren”, observa Rubiano. “Será cuestión de aprovechar el impacto mediático que está teniendo la cantidad de de ciberataques que hemos sufrido este año, para ver si a fuerza de golpearnos contra este tipo de incidentes logramos tener una implementación eficiente y segura que cumpla con los controles requeridos y los principios de protección”, concluye el especialista.
La historia clínica de los ciudadanos es de naturaleza personalísima y delicada, si llegara a caer en las manos equivocadas, podría convertir la vida de los involucrados en un infierno indescriptible. No se cuestiona la practicidad de la digitalización de la información médica, sino la incertidumbre respecto a garantizar su invulnerabilidad. Ante los hechos recientes, el desafío de ciberseguridad es casi tan grande como el escepticismo hacia la capacidad del estado para cumplirlo.
