Hackeo a «Informe Médico» con información de pacientes: especialistas de Río Negro aseguran que la legislación es pobre

Tras el ataque cibernético a la Comisión Nacional de Energía Atómica, al Conicet, PAMI y el Registro Nacional de las Personas (Renaper), entre otros, ahora fue el turno del hackeo a “Informe Médico”, un proveedor de software a 30 entidades de salud públicas y privadas en Argentina.

Un grupo cibercriminal puso a la venta más de 600 mil informes y estudios médicos en un foro de compraventa de datos, donde se comercializa este tipo de información.

La venta de datos personales se usa con distintos fines, entre ellos la suplantación de identidad. En este caso, los datos médicos aportan información detallada sobre las personas, que los convierte en una presa fácil de phishing (ciberataque que consiste en engañar a los usuarios para que compartan información personal) más personalizados.

Walter Agüero, magister en Ingeniería de Software, especialista en ciberseguridad en la Universidad de Corea del Sur y docente en la Universidad Nacional de Río Negro, explicó que es una «situación muy complicada porque no son casos aislados sino de todos los días«: «La seguridad informática se ha minimizado: como el ciberespacio no se puede visualizar, no hay huellas, pareciera que no ocasiona conflicto».

Mencionó que las provincias cuentan con sistemas de seguridad para prevenir el delito en las calles. «Pero el delito en Argentina se incrementó no solo en la calle sino en el ciberespacio. Los ciberdelincuentes se llevan más de mil millones de pesos por año desde 2020″, alertó este licenciado en Ciencias de la Computación.

Consideró que al no haber ciberpolicías, «se ha transformado en un acto delictivo sin que nadie los pueda seguir. Tenemos todos los fines de semana, robos de cuentas bancarias en el ciberespacio».

¿Qué sugiere hacer? Tomar medidas de protección y la capacitación -que falta- es fundamental. «Por eso, hablo de minimización. Argentina tiene una ley en la que el delito está tipificado (Ley 26.388 de Delitos Informáticos y Ciberseguridad), pero es débil: ¿quién investiga?», expresó y agregó: «La ley tiene competencia sobre la base de datos y desde punto de vista penal considera el ciberdelito. El tema es que no tipifica el ciberespacio. ¿A cuántos han atrapado? No existe el concepto de la ciberinteligencia y, los organismos provinciales y nacionales fallan al no modificar las leyes y no crear una comisión de ciberseguridad. Así como existe el fuero civil, comercial, debería existir el fueron digital porque el ciberespacio tiene sus propias reglas y normativas».

Puso como ejemplo a una persona que se deje el celular en la mesa de una confitería. Alguien se lo lleva por error y al rato, lo devuelve. «Hacés la denuncia por hurto, pero ¿qué pasa si, en ese lapso, te robaron las cuentas bancarias? El dispositivo se devolvió. Hay una legislación pero si sucede algo, que Dios nos ayude», planteó Agüero.

Qué cantidad de ciberataques se registran

---

Según datos aportados en el Foro Económico Mundial por parte de organizaciones de ciberseguridad, nueve de cada diez organizaciones sufrieron al menos un ataque cibernético en el último año. Cada organización enfrenta un promedio de 1.876 intentos de intrusión por semana, lo que representa un incremento del 75% con respecto al mismo período de 2023.

En 2023, Argentina sufrió 2.000 millones de intentos de ciberataques según FortiGuard Labs, una organización de investigación e inteligencia de amenazas de Fortinet. Durante el primer trimestre de 2024, se recibieron más de 262 millones de intentos de ciberataques, siendo enero y marzo los meses con mayor actividad.

Por su parte, Paola Britos, directora de la carrera de Ingeniería de Computación de la sede Andina de la Universidad Nacional de Río Negro, consideró que «lamentablemente el ciberdelito es cada vez más frecuente«.

«En mi opinión, la legislación es pobre. No todos los países han legislado en esta materia. Entonces, el proveedor de un servicio puede estar en un lugar y el que lo usa, en otro y muchas veces, no hay compatibilidad legislativa. Entonces, ¿quién se hace cargo del delito?«, manifestó. Dijo que en el caso de «Informe Médico», la aplicación venía del exterior: «Podrían decir: ‘Ustedes no tenían las normas de seguridad como deberían’. Todo termina siendo la nada misma«.

Advirtió que es sumamente complejo detectar a los ciberdelincuentes en tanto se cubren rastros. «¿Cómo saber quién usó una máquina? Una persona puede decir: ‘La dejé a tal hora’. ¿Es cierto?, ¿quién puede asegurar que no se metieron remotamente o que alguien más uso esa máquina? Acá es donde debemos trabajar profundamente los especialistas para hacer las cosas más seguras«, sugirió. Insistió en que cada usuario u organización debe poner la mirada en buenos sistemas de seguridad «de acuerdo al rol que cumplen»: un usuario, con buenos antivirus y redes seguras; en tanto, las empresa, «de acuerdo a la complejidad de los datos que tratan».