Radiografías, resonancias magnéticas y tomografías por escáner de millones de pacientes están en Internet a disposición de cualquiera que tenga unas mínimas nociones de programación. Este es el hallazgo de la cadena de televisión alemana Bayerischer Rundfunk y la agencia de noticias estadounidense ProPublica.

Para acceder a estos datos sanitarios tan solo sería necesario un navegador web y unas pocas líneas de código.

La causa de esta vulnerabilidad, que afecta a 52 países, es la falta de un estándar de seguridad fiable y actualizado para el almacenamiento y compartición de imágenes en hospitales, centros de salud y consultas. Esto daría lugar a que, en determinados casos, se pueda acceder a las radiografías, tratamientos, nombre y fecha de nacimiento de un paciente tan solo haciendo una simple búsqueda desde un navegador.

En algunos casos, los servidores tienen instalados sistemas operativos obsoletos con vulnerabilidades conocidas. En otros casos, el propio software de almacenamiento presenta serios fallos de seguridad que permiten el acceso no autorizado.

La transición de la radiología desde un sistema de almacenamiento y compartición de datos analógico a uno digital ha permitido que los profesionales sanitarios puedan agilizar mucho el proceso de obtención y análisis de las imágenes. La digitalización abrió las puertas al diagnóstico inmediato a distancia, pero, este avance sin duda beneficioso, no ha ido acompañado de un avance proporcional en materia de seguridad.

El informe de ProPublica indica que las grandes cadenas de hospitales y los centros académicos son los que tienden a tener mejores sistemas de seguridad mientras que las clínicas y archivos radiológicas y profesionales independientes son los que más problemas de seguridad presentan.

El estándar para software de radiología DICOM, utilizado en la actualidad, fue creado en 1985 por un grupo de profesionales sanitarios. Este conjunto de reglas especifica cómo los dispositivos se comunican unos con otros y comparten información.

La noticia no da datos concretos por países, pero las autoridades alemanas han confirmado que más de 13 000 pacientes alemanes podrían estar afectados de un total de más de 16 millones en todo el mundo. La brecha incluye datos veterinarios. Dirk Schrader, experto en Seguridad de la Información, fue el primero en dar la voz de alarma sobre esta vulnerabilidad.

Los datos sanitarios son considerados datos especialmente sensibles y, por ello, están dotados de una especial protección bajo el Reglamento General de Protección de Datos. El potencial de daño que el uso no autorizado de esta tipología de datos es enorme.

Las brechas de seguridad de datos sanitarios se están intensificando en los últimos años, en 2015 los datos de 78 millones de personas fueron expuestos en un ataque informático sobre la aseguradora estadounidense Anthem Inc. Ese mismo año, en Londres una clínica expuso los nombres y direcciones de 780 pacientes afectados de VIH. En 2017, se descubrió que los datos de las tarjetas sanitarias de todos los paciente de la sanidad pública australiana estaban a la venta en el dark web.