Todos los días millones de nuevas imágenes médicas que contienen la información personal de salud de los pacientes se están derramando en Internet.
Cientos de hospitales, consultorios médicos y centros de imágenes utilizan sistemas de almacenamiento inseguros, lo que permite que cualquier persona con conexión a Internet y software de descarga gratuita acceda a más de mil millones de imágenes médicas de pacientes en todo el mundo.
Aproximadamente la mitad de todas las imágenes expuestas, que incluyen rayos X, ultrasonidos y tomografías computarizadas, pertenecen a pacientes en los Estados Unidos.
Sin embargo, a pesar de las advertencias de los investigadores de seguridad que han pasado semanas alertando a los hospitales y consultorios médicos sobre el problema, muchos han ignorado sus advertencias y continúan exponiendo la información de salud privada de sus pacientes.
"Parece empeorar cada día", dijo Dirk Schrader, quien dirigió la investigación en la firma de seguridad con sede en Alemania Greenbone Networks, que ha estado monitoreando el número de servidores expuestos durante el año pasado.
El problema está bien documentado. Greenbone encontró 24 millones de exámenes de pacientes que almacenaron más de 720 millones de imágenes médicas en septiembre, que primero desenterrado la escala del problema según lo informado por ProPublica. Dos meses después, el número de servidores expuestos había aumentado en más de la mitad a 35 millones de exámenes de pacientes, exponiendo 1.19 mil millones de escaneos y representando una violación considerable de la privacidad del paciente.
Pero el problema muestra pocas señales de disminuir. "La cantidad de datos expuestos sigue aumentando, incluso teniendo en cuenta la cantidad de datos desconectados debido a nuestras divulgaciones", dijo Schrader.
Si los médicos no toman medidas, dijo que el número de imágenes médicas expuestas alcanzará un nuevo máximo "en poco tiempo".
Más de mil millones de imágenes médicas permanecen expuestas. Los expertos dicen que el número está empeorando, no mejor. (Imagen: suministrada)
Los investigadores dicen que el problema es causado por una debilidad común que se encuentra en los servidores utilizados por hospitales, consultorios médicos y centros de radiología para almacenar imágenes médicas de los pacientes.
Un formato de archivo de décadas y un estándar de la industria conocido como DICOM fue diseñado para facilitar a los profesionales médicos almacenar imágenes médicas en un solo archivo y compartirlas con otras prácticas médicas. Las imágenes DICOM se pueden ver usando cualquiera de las aplicaciones gratuitas, como lo haría cualquier radiólogo. Las imágenes DICOM generalmente se almacenan en un sistema de archivo y comunicación de imágenes, conocido como servidor PACS, lo que permite un fácil almacenamiento y uso compartido. Pero muchos consultorios médicos ignoran las mejores prácticas de seguridad y conectan su servidor PACS directamente a Internet sin una contraseña.
Estos servidores desprotegidos no solo exponen imágenes médicas sino también información de salud personal del paciente. Muchos escaneos de pacientes incluyen portadas incluidas en el archivo DICOM, incluido el nombre del paciente, las fechas de nacimiento y la información confidencial sobre sus diagnósticos. En algunos casos, los hospitales usan el número de Seguro Social de un paciente para identificar a los pacientes en estos sistemas.
Lucas Lundgren, un investigador de seguridad con sede en Suecia, pasó parte del año pasado observando el alcance de los datos de imágenes médicas expuestas. En noviembre, demostró a TechCrunch lo fácil que era para cualquiera ver los datos médicos de los servidores expuestos. En solo unos minutos, encontró uno de los hospitales más grandes de Los Ángeles que expone decenas de miles de escaneos de pacientes que datan de varios años. El servidor se aseguró más tarde.
Algunos de los hospitales y centros de imágenes más grandes de los Estados Unidos son los principales culpables de exponer datos médicos. Schrader dijo que los datos expuestos ponen a los pacientes en riesgo de convertirse en "víctimas perfectas para el fraude de seguro médico".
Sin embargo, los pacientes desconocen que sus datos podrían estar expuestos en Internet para que cualquiera los encuentre.
El poderoso, que examinó el efecto en pacientes, descubrieron que la información médica expuesta pone a los pacientes en mayor riesgo de fraude de seguro y robo de identidad. Los datos expuestos también pueden erosionar la relación entre los pacientes y sus médicos, lo que hace que los pacientes estén menos dispuestos a compartir información potencialmente pertinente.
Como parte de nuestra investigación, encontramos varios centros de imágenes de EE. UU. Que almacenan décadas de escaneos de pacientes.
Una paciente, cuya información fue expuesta después de una visita a una sala de emergencias en Florida el año pasado, describió sus datos médicos expuestos como "atemorizantes" e "incómodos". Otra con una enfermedad crónica tuvo exploraciones regulares en un hospital en California durante un período de 30 años. Y un servidor desprotegido en uno de los hospitales militares más grandes de los Estados Unidos expuso los nombres de personal militar e imágenes médicas.
Pero incluso en casos de pacientes con solo una o un puñado de imágenes médicas, los datos expuestos pueden usarse para inferir una imagen de la salud de una persona, incluidas enfermedades y lesiones.
Muchos escaneos de pacientes incluyen hojas de portada que contienen información personal de salud incluida en el archivo. (Imagen: suministrada)
En un esfuerzo por proteger los servidores, Greenbone contactó a más de cien organizaciones el mes pasado sobre sus servidores expuestos. Muchas de las organizaciones más pequeñas posteriormente aseguraron sus sistemas, lo que resultó en una pequeña caída en el número total de imágenes expuestas. Pero cuando la compañía de seguridad contactó a las 10 organizaciones más grandes, que representaban aproximadamente uno de cada cinco de todas las imágenes médicas expuestas, Schrader dijo que "no hubo ninguna respuesta".
Greenbone compartió en privado con los nombres de las organizaciones para permitir que TechCrunch haga un seguimiento con cada consultorio médico, incluido un proveedor de salud con tres hospitales en Nueva York, una compañía de radiología en Florida con una docena de ubicaciones y un importante hospital con sede en California. (No nombramos a las organizaciones afectadas para limitar el riesgo de exponer los datos del paciente).
Solo una organización aseguró sus servidores. Northeast Radiology, un socio de Alliance Radiology, tenía el mayor caché de datos médicos expuestos en los EE. UU., Según los datos de Greenbone, con más de 61 millones de imágenes en aproximadamente 1.2 millones de pacientes en sus cinco oficinas. El servidor se aseguró solo después de que TechCrunch siguió un mes después de que Greenbone advirtió por primera vez a la organización de la exposición.
La portavoz de la Alianza, Tracy Weise, declinó hacer comentarios.
Schrader dijo que si las organizaciones afectadas restantes retiraran sus sistemas expuestos de Internet, casi 600 millones de imágenes "desaparecerían" de Internet.
Los expertos que han advertido sobre los servidores expuestos durante años dicen que las prácticas médicas tienen pocas excusas. Yisroel Mirsky, un investigador de seguridad que ha estudiado vulnerabilidades de seguridad en equipos médicos, dijo el año pasado que las características de seguridad establecidas por el organismo de normalización que crearon y mantienen el estándar DICOM han sido "ignorados en gran medida" por los fabricantes de dispositivos.
Schrader no culpó a los fabricantes de dispositivos. En cambio, dijo que era "pura negligencia" que los consultorios médicos no pudieron configurar y asegurar sus servidores correctamente.
Lucia Savage, ex alta funcionaria de privacidad del Departamento de Salud y Servicios Humanos de EE. UU., Dijo que se debe hacer más para mejorar la seguridad en toda la industria de la salud, especialmente a nivel de organizaciones más pequeñas que carecen de recursos.
"Si los datos son información de salud personal, es necesario que estén protegidos contra el acceso no autorizado, lo que incluye encontrarlos en Internet", dijo Savage. "Existe la misma obligación de cerrar la sala de archivos que contiene sus registros médicos en papel, así como asegurar la información de salud digital", dijo.
Los registros médicos y los datos personales de salud están altamente protegidos por la ley de los EE. UU. La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) creó la "regla de seguridad", que incluía salvaguardas técnicas y físicas diseñadas para proteger la información electrónica de salud personal al garantizar que los datos se mantengan privados y seguros. La ley también responsabiliza a los proveedores de atención médica por cualquier falla de seguridad. Incumplir la ley puede conducir a sanciones severas.
"A medida que los Servicios de Salud y Humanos presionan agresivamente para permitir que una gama más amplia de partes tenga acceso a la información confidencial de salud de los pacientes estadounidenses sin las protecciones de privacidad tradicionales que se unen a esa información, la falta de atención del HHS a este incidente en particular se vuelve aún más preocupante".
Senador Mark Warner (D-VA)
El gobierno el año pasado multaron a una compañía de imágenes médicas con sede en Tennessee por $ 3 millones por exponer accidentalmente un servidor que contiene más de 300,000 datos protegidos de pacientes.
Deven McGraw, quien era el principal funcionario de privacidad en el brazo de cumplimiento de los Servicios Humanos y de Salud, la Oficina de Derechos Civiles, dijo que si la asistencia de seguridad estuviera más disponible para los proveedores más pequeños, el gobierno podría centrar sus esfuerzos de cumplimiento en proveedores que ignoren voluntariamente su seguridad obligaciones
"La aplicación del gobierno es importante, al igual que la orientación y el apoyo para proveedores de bajos recursos y soluciones fáciles de implementar que están integradas en la tecnología", dijo McGraw. "Puede ser un problema demasiado grande para cualquier agencia de aplicación de la ley realmente hacer mella".
Dado que la escala de servidores médicos expuestos se reveló por primera vez en septiembre, el senador Mark Warner (D-VA) pidió respuestas de Salud y Servicios Humanos. Warner reconoció que la cantidad de servidores expuestos en los EE. UU. Había disminuido (16 servidores que almacenan 31 millones de imágenes), pero le dijo a TechCrunch que "se necesita hacer más".
"Que yo sepa, Salud y Servicios Humanos no ha hecho nada al respecto", dijo Warner a TechCrunch. "A medida que los Servicios de Salud y Humanos presionan agresivamente para permitir que una gama más amplia de partes tenga acceso a la información confidencial de salud de los pacientes estadounidenses sin las protecciones de privacidad tradicionales adjuntas a esa información, la falta de atención del HHS a este incidente en particular se vuelve aún más preocupante", agregó.
La Oficina de Derechos Civiles y de Salud y Servicios Humanos dijo que no hace comentarios sobre casos individuales, pero defendió sus acciones de cumplimiento.
"OCR ha tomado medidas de cumplimiento en el pasado para abordar violaciones relacionadas con servidores de almacenamiento desprotegidos, y continúa aplicando de manera sólida las reglas de HIPAA", dijo el portavoz.
"Continuaremos haciendo nuestro mejor esfuerzo para mejorar la situación global de los sistemas desprotegidos", dijo Schrader. Pero dijo que no podía hacer mucho más que advertir a las organizaciones sobre sus servidores expuestos.
"Entonces es una pregunta para los reguladores", dijo.