Hackearon los datos de miles de afiliados de una prepaga: cuál es el riesgo

La noticia sobre el hackeo a la empresa de medicina prepaga Osde pone nuevamente en el centro de la escena la filtración de datos personales. En esta oportunidad, el grupo de ciberdelincuentes Lockbit publicó alrededor de 140 GB de información interna robada mediante un ransomware. Los archivos vulnerados contienen las historias clínicas de los afiliados así como también sus datos personales y documentación.  Este tipo de incidentes ponen en riesgo la seguridad de los damnificados ya que los datos sustraídos pueden usarse con múltiples fines delictivos.

Las filtraciones de datos personales es un riesgo latente que tiene cualquier persona que utiliza la tecnología disponible en los celulares, computadoras o simplemente aquel que necesita realizar un trámite de diversa índole. Además de las aplicaciones y redes sociales que utilizamos frecuentemente para comunicarnos, muchos trámites bancarios, estatales o relacionados a nuestras obras sociales requieren permisos de acceso a información de índole privada que está almacenada en los dispositivos de uso diario.

"No estamos acostumbrados a denunciar porque es un delito intangible pero hay que educar en relación a esto ya que es un delito cada vez más frecuente", dijo el especialista.

"Los riesgos con las filtraciones son muchos, una vez que los datos están en manos de los delincuentes no sabemos qué pueden hacer con eso. Generalmente suplantan identidad para pedir créditos, cuando tienen tanta información tuya es más fácil que puedan engañarte", destacó Juan Pablo Altmark, experto en protección de datos personales y presidente de la Asociación Latinoamericana de Privacidad.

La empresa de medicina prepaga reconoció el ataque informático perpetrado por Lockbit, que actualmente es una de las bandas más conocidas a nivel ciberdelito y cuyos ataques están dirigidos a empresas ligadas a la salud. El especialista en informática, Javier Smaldone explicó que "el ransomware es un tipo de programa que secuestra archivos, los encripta y demanda dinero a cambio".

Los delincuentes pidieron un rescate de 300 mil dólares a Osde por los datos personales e historias clínicas pero ante la falta de respuesta por parte de la empresa, decidieron publicar la información cuyo contenido hace referencia a enfermedades, tratamientos, fragmentos de historias clínicas, estudios médicos, listados de pacientes e información médica de carácter privado e íntimo de afiliados entre los cuales hay políticos, periodistas y famosos.

"Todos los días atacan una empresa, eso no significa que todas sean negligentes y deban responder frente a esos ataques. Siempre hay posibilidades de que la seguridad sea vulnerada", dijo Altmark.

Más allá de este hecho puntual que involucra a la empresa de medicina prepaga, la filtración de los datos personales por parte de las empresas y del mismo estado es una posibilidad cada vez más frecuente ante la falta de regulación existente en nuestro país y la falta de cifrado de los mismos.

"Todos los días atacan una empresa, eso no significa que todas sean negligentes y deban responder frente a esos ataques. Siempre hay posibilidades de que la seguridad sea vulnerada", dijo Altmark y agregó: "Los damnificados pueden hacer la denuncia ante la Dirección Nacional de Protección de Datos Personales y se inicia una investigación para ver si la empresa tenía implementados todos los procedimientos de seguridad y protección de la intimidad adecuados según lo que dice la ley para verificar si hubo negligencia o una brecha de seguridad".

Cada vez es más común que las empresas y el mismo estado pongan como un requerimiento obligatorio para la realización de trámites, la descarga de aplicaciones específicas para nuestros dispositivos móviles. Un ejemplo de ello fue la aplicación Cuidar, la carga virtual del formulario correspondiente al Censo digital y los trámites diarios relacionados con las apps de los bancos. Los datos expuestos en esos sistemas suelen ser vulnerados ya que no tienen sistemas de seguridad suficientes y las brechas de seguridad son frecuentes.

"El problema es que en Argentina no hay respeto por la privacidad de los datos personales o sensibles. Naturalizamos que nos pidan el DNI al pasar por la caja de un supermercado e incluso el sistema de huellas digitales que hoy se usa de forma permanente", destacó Smaldone.

"Nuestra ley fue de vanguardia pero quedó muy vieja. Hoy están llamando a los sectores de la sociedad civil, especialistas, académicos, cámaras empresariales para proponer modificaciones que permitan generar un nuevo proyecto de ley que incorpore herramientas para los tiempos actuales", explicó Altmark.

Qué deben saber los usuarios

Los especialistas consultados coincidieron en que existe una falta de conocimiento por parte de la ciudadanía en relación al uso de los datos personales en las apps o cuentas virtuales que permite una mayor vulnerabilidad. "Es importante que cambien frecuentemente las contraseñas y no tener las mismas claves en varias cuentas, generar una verificación de dos pasos y tomar las precauciones necesarias frente a apps poco conocidas. Hay muy poca gente capacitada en esto...estos delitos se realizan mediante el ataque de un software", dijo Altmark.

En caso de que el usuario tenga dudas respecto a la información que una empresa tiene de su persona tiene derecho a solicitar los datos personales que se encuentran en las bases de cualquier organismo estatal, empresa privada u organización civil. "Por ley están obligados a entregar esa información en formato entendible para el solicitante. Si es ilegítimo que tengan los datos se puede exigir la supresión pero lamentablemente los procesos dependen de cada empresa", agregó Altmark.

Una vez perpetrado el delito se recomienda que los damnificados realicen las denuncias on line ya que de esa manera se pueden investigar las filtraciones y encontrar a los responsables. "No estamos acostumbrados a denunciar porque es un delito intangible pero hay que educar en relación a esto ya que es un delito cada vez más frecuente", finalizó el experto en protección de datos personales.