Cómo prevenir las filtraciones de datos: Confidant Health

November 25, 2024 | 6 minutes read
Cómo prevenir las filtraciones de datos: Confidant Health

Imagina un mundo en el que el apoyo a la salud mental esté disponible al instante, en el que la terapia, la orientación y la escucha sean fácilmente accesibles a través de una aplicación segura. Eso es lo que promete Confidant Health. Conocida por su enfoque innovador de la salud mental y el tratamiento de adicciones, la plataforma se enorgullece de combinar la conexión humana con la tecnología impulsada por la IA. Pero cuando la seguridad no se impone, incluso los servicios mejor intencionados pueden dejar a los usuarios vulnerables. Esto es precisamente lo que ocurrió cuando Confidant Health se convirtió en la última empresa en sufrir una brecha de ciberseguridad.

¿Quién es Confidant Health?

Confidant Health es una clínica virtual fundada para hacer más accesibles los servicios de salud mental y recuperación de adicciones. Ofrecen servicios como evaluación psiquiátrica, terapia en línea, prescripción de determinados medicamentos y tratamiento de la adicción al alcohol y las drogas.

Confidant Health atiende a más de 6.000 clientes, con 5 estados (Texas, Virginia, Florida, New Hampshire y Connecticut) en su red de servicios. Confidant Health ha cosechado un notable éxito como pequeña empresa, pero un gran poder conlleva una gran responsabilidad. Con la confianza que los clientes de Confidant Health depositan en ellos, son responsables de salvaguardar la privacidad de sus clientes al más alto nivel.

La filtración: ¿Qué ocurrió?

A principios de septiembre, se descubrió una importante brecha de seguridad cuando Jeremiah Fowler, un investigador de ciberseguridad, descubrió una base de datos no segura perteneciente a Confidant Health. Esta vulnerabilidad era el resultado de un servidor mal configurado, un error que se produce cuando la configuración del servidor no es la adecuada, lo que conlleva graves riesgos para la seguridad.

La brecha reveló la asombrosa cantidad de 5,3 terabytes de información personal accesible en línea sin credenciales de acceso. Aproximadamente 126.000 archivos estaban a disposición del público, incluidos datos confidenciales como nombres, direcciones, números de la seguridad social y registros de tratamientos médicos. Resulta alarmante que estos archivos incluyeran grabaciones de audio y vídeo de sesiones de terapia, así como permisos de conducir y documentos de identidad utilizados para verificar la identidad. Esta exposición afectó no sólo a pacientes, sino también a terapeutas y profesionales sanitarios asociados a Confidant Health.

Tras la notificación de este importante fallo de seguridad, Confidant Health actuó con rapidez para restringir el acceso a la base de datos. Sin embargo, aún no está claro cuánto tiempo estuvieron expuestos los datos ni cuántas personas accedieron a ellos durante ese tiempo.

Las implicaciones de este incidente son especialmente preocupantes, dado que Confidant Health atiende a una población vulnerable: las personas que luchan contra la adicción y los problemas de salud mental. Al exponer sus datos, Confidant Health pone en peligro no solo su privacidad, sino también su bienestar mental. En las manos equivocadas, esta información sensible podría conducir al chantaje o al robo de identidad, lo que supone una grave amenaza para el bienestar general de las personas afectadas.

En el fondo, la brecha de Confidant Health revela una vulnerabilidad que afecta a muchas plataformas tecnológicas hoy en día: la prisa por innovar a menudo supera el tiempo dedicado a proteger estas innovaciones. Una industria como la médica, que maneja datos tan sensibles, debería tomar todas las precauciones posibles para protegerlos.

Si Confidant Health hubiera equilibrado su enfoque en el compromiso del usuario con la misma atención a la seguridad de los datos, esta brecha podría haberse evitado. Medidas fundamentales como la actualización periódica del software, el almacenamiento de archivos cifrados y la autenticación multifactor podrían haber mitigado el riesgo de este tipo de filtraciones. La retrospectiva siempre es 20/20, pero la privacidad de los pacientes debe estar en primer plano cuando se trata de datos confidenciales.

La mejor forma de prevenir una filtración

Aunque existen muchas precauciones para impedir las filtraciones, sólo la redacción las evita por completo. La redacción oculta la información sensible difuminándola, oscureciéndola o silenciándola, lo que impide el acceso no autorizado a los datos confidenciales.

Aunque esto no cambia el hecho de que las personas puedan acceder a estos registros, sí puede cambiar la parte de los registros que pueden ver las personas que acceden a ellos. Con la información personal identificable (IPI), como nombres, direcciones, números de teléfono o fotografías censuradas, no importaría quién accediera al sistema porque todos los datos identificables o sensibles quedarían ocultos.

En la actualidad, muchas herramientas de censura utilizan IA para detectar y ocultar información basándose en reglas predefinidas. Si Confidant Health hubiera empleado este tipo de herramientas, es probable que el daño se hubiera minimizado, limitando la exposición de los datos confidenciales de salud mental de sus usuarios.

Brecha tras brecha: Un patrón más amplio en la sanidad

La filtración de Confidant Health, aunque escandalosa, no es por desgracia un incidente aislado. Las filtraciones de datos sanitarios llevan años aumentando. El sector sanitario es uno de los más atacados por los ciberdelincuentes, y en los últimos años empresas como UCLA Health, Anthem y LabCorp se han visto gravemente afectadas.

Solo en 2023, las filtraciones en el sector sanitario representaron el 20 % de todas las filtraciones de datos notificadas. La razón está clara: los datos sanitarios son valiosos. No sólo incluyen información de identificación personal, sino también datos del seguro médico, historiales médicos e información sobre recetas médicas, lo que los hace muy apetecibles para el robo de identidad, el fraude a las aseguradoras y el chantaje.

En algunos casos, el impacto de las brechas sanitarias va más allá del ámbito digital. Por ejemplo, en 2019, un ciberataque contra Universal Health Services obligó a la cadena hospitalaria a volver al mantenimiento manual de registros durante semanas, lo que retrasó la atención al paciente y causó trastornos generalizados.

Mirando hacia el futuro: ¿Cuál es el futuro de la sanidad digital?

La filtración de Confidant Health es una llamada de atención, un recordatorio de que, a medida que digitalizamos la sanidad, también debemos reforzarla. A medida que la sanidad se digitaliza inevitablemente, la seguridad de estas plataformas es crucial para la seguridad de las personas que las utilizan.

Las organizaciones deben invertir en sólidos marcos de ciberseguridad, que incluyan actualizaciones periódicas del software, cifrado, herramientas de redacción y autenticación multifactor. Además, la transparencia con los usuarios es crucial; las personas deben ser conscientes de cómo se almacenan, protegen y utilizan sus datos.

Aunque es probable que Confidant Health se recupere de esta brecha, el incidente pone de relieve la importancia de la confianza en la sanidad digital. Es una confianza que tarda años en construirse, pero que puede deshacerse rápidamente. Por el bien de la salud mental de los usuarios, su privacidad y el futuro de la atención digital, todos debemos aprender de estas violaciones y mejorar.

La filtración de Confidant Health sirve tanto de advertencia como de desafío. Nos recuerda las vulnerabilidades que acechan en nuestra era digital, especialmente en sectores tan sensibles como la salud mental. Reta a las empresas a replantearse su enfoque de la seguridad de los datos, haciendo hincapié en que la comodidad nunca debe ir en detrimento de la protección del usuario.

Related Reads

November 25, 2024 | 9 minutes read
Cómo utilizar y cumplir mejor la ley FOIL de Nueva York

Conoce las leyes FOIL de Nueva York para acceder a registros públicos, ser un ciudadano informado y garantizar la transparencia en el gobierno.

Conozca Más »
Conference banner for FBINAA NvSCA conference
November 25, 2024 | 3 minutes read
Descubra la mejor solución de redacción en NvSCA/FBINAA

Venga a vernos a Las Vegas del 14 al 16 de octubre para conocer todo sobre CaseGuard, la única solución de redacción que necesita.

Conozca Más »
feed-forward-neural-networks-new-deep-learning-models
November 25, 2024 | 5 minutes read
Redes neuronales Feed-Forward, nuevos modelos de aprendizaje profundo

Las redes neuronales feed-forward son las más simples y útiles para que desarrolladores creen aplicaciones de aprendizaje profundo.

Conozca Más »
personal-data-confidentiality-and-state-agencies-in-arizona
November 25, 2024 | 5 minutes read
Confidencialidad de los datos personales en Arizona

Ariz. Rev. Stat. Ann. § 41-4151, 41-4152 es una ley de privacidad de datos en línea que se promulgó en el estado estadounidense de Arizona en 2015.

Conozca Más »
CaseGuard-COVID19-FERPA-Community-and-Student-Privacy
November 25, 2024 | 9 minutes read
COVID19 FERPA Comunidad y privacidad de los estudiantes

Cerrar escuelas es clave para prevenir la propagación. Distancia social, lavado de manos, esterilización y cuarentena son esenciales para proteger estudiantes.

Conozca Más »
data-privacy-and-protection-legislation-in-malta-gdpr
November 25, 2024 | 5 minutes read
Legislación sobre protección y privacidad de datos en Malta

La Ley de Protección de Datos de Malta (Ley XX 2018) es una ley de protección de datos y privacidad personal que se aprobó en el país de Malta en 2018.

Conozca Más »