La mayoría de los médicos invierte en cerraduras, cámaras o control de acceso para proteger su consultorio físico; sin embargo, pocas veces se evalúa con el mismo rigor la seguridad de la información digital. En los hospitales y consultorios se manejan historias clínicas electrónicas, recetas digitales, estudios de laboratorio enviados por correo, conversaciones por mensajería instantánea y bases de datos administrativas que contienen datos personales sensibles cuya vulneración puede tener consecuencias clínicas, legales y reputacionales.

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece la obligación de implementar medidas administrativas, técnicas y físicas para proteger la información en posesión de profesionales de la salud. El incumplimiento puede derivar en sanciones económicas y responsabilidades civiles.

A nivel mundial, el sector salud es uno de los principales blancos de ciberataques debido al alto valor de los datos clínicos en el mercado ilegal, especialmente mediante phishing (envío de correos electrónicos, SMS o mensajes fraudulentos que imitan a fuentes confiables, que buscan engañar para obtener credenciales o dinero directamente) y ransomware (software malicioso que infecta equipos, bloqueando el acceso a la información para extorsionar).¹^,²

Los principales usos ilícitos de los datos clínicos pueden incluir el robo de identidad, fraude de seguros médicos, extorsión y venta de medicamentos falsos o robados.

Estudios recientes señalan que muchas brechas de seguridad se originan en errores humanos, contraseñas débiles o falta de actualización de sistemas.³ En consultorios privados —donde los recursos tecnológicos suelen ser limitados— el riesgo puede incrementarse si no existen protocolos de respaldo, cifrado y control de accesos.

La protección digital no es un tema exclusivo de grandes hospitales; forma parte de la ética médica y de la seguridad del paciente. Implementar autenticación multifactor (MFA), realizar copias de seguridad periódicas,  mantener software y antivirus actualizados y, especialmente, capacitar al personal en ciberseguridad son medidas básicas recomendadas.^1,3,4

Generalmente, los correos electrónicos de phishing comparten las siguientes características de alerta:⁵

• Archivos adjuntos o enlaces: evitar interactuar con enlaces o archivos adjuntos sospechosos. Asegúrate de que los enlaces comiencen con “https://” y no “http://”
• Errores ortográficos: desconfiar de mensajes con errores ortográficos o logos borrosos.
• Gráficos con aspecto poco profesional.
• Urgencia innecesaria por verificar tu dirección de correo electrónico u otro tipo de información personal de inmediato: los mensajes que exigen acción inmediata (amenazas de cierre de cuenta, premios falsos) suelen ser falsos.
• Saludos genéricos, como “Hola, cliente” en lugar de tu nombre.

Una estrategia para evitar convertirte en una víctima de un ataque de phishing puede ser eliminar el correo o mensaje sin abrirlo y bloquear de inmediato al remitente. Si se revela información confidencial, restablezca sus contraseñas en los sitios en los que utilice.⁵

Proteger los datos clínicos implica una responsabilidad profesional y legal en la práctica médica moderna que debe garantizar la confidencialidad, integridad y disponibilidad de la información de salud de los pacientes.

Referencias:

1. Kruse CS, Frederick B, Jacobson T, Monticone DK. Cybersecurity in healthcare: A systematic review of modern threats and trends. Technol Health Care. 2017;25(1):1-10.
2. Office for Civil Rights (HHS). Breach Portal: Notice to the Secretary of HHS Breach of Unsecured Protected Health Information [Internet]. 2023.
3. McLeod A, Dolezel D. Cyber-analytics: modeling factors associated with healthcare data breaches. Decis Support Syst. 2018;108:57-68.
4. Cybersecurity in Healthcare: Protecting Patients and Systems. https://www.xantrion.com/article/cybersecurity-in-healthcare-protecting-patients-and-systems
5. Kaspersky. Todo lo que debes saber acerca de las estafas y la prevención de phishing. https://latam.kaspersky.com/resource-center/preemptive-safety/phishing-prevention-tips