Profesional médico utilizando una tableta. Concepto de tecnología médica.

La dura verdad sobre la protección adecuada de los datos sanitarios

jun. 2023
Inicio del Blog

Las organizaciones sanitarias siempre necesitarán almacenar y transferir datos sanitarios personales, conocidos también como datos sanitarios protegidos (DSP, o PHI por sus siglas en inglés). Priorizar la protección de los datos seguirá siendo fundamental para protegerlos contra ciberataques y pérdidas, y mantenerlos seguros. De hecho, una encuesta realizada por la American Medical Association llegó a la conclusión de que el 92% de los pacientes considera que la privacidad de sus datos médicos es un derecho, y que deberían ser protegidos. Esto es más fácil decirlo que hacerlo, ya que los datos también deben poder portarse y compartirse sin demasiados rodeos.

Aunque proteger los DPS podría parecer trivial, una vulneración puede tener graves consecuencias. Por ejemplo, en 2021 Scripps Health tuvo que pagar una indemnización de $3,5 millones después de un ataque de ransomware.

Sin alarmismos, es necesario reconocer que el volumen de vulneraciones que afectan a las entidades sanitarias crece por momentos. Los malos entienden el valor de comprometer la información sanitaria, y los ataques de ransomware crecen con rapidez, convirtiendo a este sector en un objetivo estratégico.

Entonces, ¿qué se puede hacer para garantizar una sólida protección de los datos?

Iconos médicos y de seguridad. El concepto de la protección de datos es fundamental para las organizaciones sanitarias.

Abordemos estos singulares retos y la necesidad de cumplir una normativa en constante cambio simplificando las cosas: el sencillo requisito de que el cifrado de los datos debe ser una parte fundamental de la estrategia de seguridad de cualquier organización sanitaria.

Después de todo, lo que puede verse puede ser atacado... ¡o protegido! Es importante saberlo al considerar un plan de protección de los datos.

En Kingston sabemos que una adecuada protección de los datos sanitarios es un tema serio. A la hora de implementar un cifrado de seguridad en los datos sanitarios, es necesario tener en cuenta varias cosas. En primer lugar, es importante entender el valor del cifrado a efectos de cumplimiento normativo. La HIPAA y otros reglamentos internacionales, como el RGPD y la CCPA (Ley de Privacidad del Consumidor de California) estipulan requisitos de cifrado de los datos personales. Mediante el cifrado, las organizaciones pueden protegerse de las consecuencias de las vulneraciones de datos y mantener el cumplimiento de estas normativas.

Pero incluso el cifrado no es simple. Suele haberlo de dos tipos: Cifrado basado en hardware y basado en software.

Entender la diferencia entre el cifrado basado en software y el basado en hardware tiene implicaciones para la protección de los datos sanitarios de los pacientes. El cifrado por software suele ser inicialmente más económico de implementar, pero su seguridad depende del sistema anfitrión. En consecuencia, es enormemente más vulnerable al pirateo, ya que las contraseñas o las claves de recuperación suelen hallarse en la memoria del sistema anfitrión y en los archivos de paginación y de hibernación. Además, muchos formatos de archivos cifrados pueden atacarse empleando herramientas de software gratuitas, o de un precio mínimo, que abundan en Internet, capaces de ejecutar ataques de fuerza bruta para quebrar el proceso de autenticación. Los ordenadores actuales pueden realizar más de 1.000 millones de intentos de adivinar contraseñas POR SEGUNDO. Además, los archivos cifrados por software pueden ser copiados y atacados en paralelo por una red de ordenadores, reduciendo todavía más el tiempo necesario para que tengan éxito los ataques de fuerza bruta para conseguir contraseñas.

El cifrado por hardware es un ecosistema de seguridad dedicado, íntegramente contenido dentro del dispositivo de almacenamiento, sea una unidad USB o un disco SSD externo. El cifrado basado en hardware está siempre activado, protegiendo los datos en todo momento, en tanto que cualquiera puede suprimir el cifrado basado en software de una unidad con solamente reformatearlo. Para los prestadores de servicios sanitarios, ello implica que un empleado infiel puede desactivar la protección y convertir una unidad con cifrado por software en un dispositivo de almacenamiento vulnerable.

En consecuencia, por lo general el cifrado por hardware es exponencialmente mucho más seguro, ya que no expone las contraseñas y claves de cifrado al sistema anfitrión. Sin embargo, esta seguridad añadida supone un incremento de costes en comparación con las unidades de almacenamiento no cifradas. Considerando que en 2022 el costo promedio de una vulneración ha sido de $4,35{{Footnote.A68763}} millones solamente en Estados Unidos, el supuesto ahorro del cifrado por software es ilusorio, al existir mejores opciones para los datos móviles: unidades USB y discos SSD externos cifradas por hardware con cifrado XTS-AES de 256 bits, que incorporan protecciones contra ataques de fuerza bruta y de BadUSB. Si una unidad cifrada por hardware se extravía, puede suponerse razonablemente que se mantendrá protegida, y que seguirá protegiendo los DPS con sus sólidas defensas.

La línea de unidades Kingston IronKey con cifrado por hardware XTS-AES de 256 bits incluye unidades de manejo sencillo, que resuelven las habituales frustraciones de los usuarios con las medidas de seguridad. Admiten múltiples contraseñas, lo cual permite a los usuarios o prestadores de servicios recuperar el acceso a las unidades en caso de olvidarse de una contraseña. Ahora existe una alternativa a las contraseñas complejas que nadie puede recordar: frases de contraseña, de hasta 64 caracteres, que pueden ser el título de un libro o de una canción favorita, una lista de palabras, la estrofa de un poema o una canción, u otras frases fáciles de recordar para los médicos y el personal sanitario, aunque prácticamente imposibles de adivinar en un ataque de fuerza bruta debido a la limitación de intentos mediante bloqueo y criptoborrado.

Las frases de contraseña están disponibles en los discos SSD externos Vault Privacy 50, 50C y Vault Privacy 80. Las unidades con teclado, como la Vault Privacy 80ES y la Keypad 200, están basadas en PIN, y son similares al uso de un teléfono móvil en aquellos casos en que los usuarios prefieran un PIN. Además, la VP80ES admite frases de contraseña, que se introducen a través de un teclado alfanumérico de fácil uso en una pantalla táctil.

Esquema de las diversas unidades cifradas por hardware Kingston IronKey. Unidades USB y discos SSD con cifrado por hardware.

Todas las unidades IronKey incorporan una sólida protección contra ataques de fuerza bruta. Cuando un atacante pretende adivinar la contraseña, la unidad cuenta los intentos no válidos y bloquea las contraseñas de usuarios; una vez agotados los intentos de adivinar la contraseña del Administrador, la unidad se criptoborra automáticamente, y todos los datos se pierden para siempre. El cifrado por software no posee la capacidad de ofrecer una protección sólida contra este tipo de ataques.

Las unidades independientes del sistema operativo, como Vault Privacy 80ES y Keypad 200, son ideales para proteger los datos transferidos entre los dispositivos médicos y los ordenadores, algo habitual en los servicios sanitarios. Por ejemplo, muchos equipos de laboratorio requieren que los técnicos realicen transferencias manuales de los datos al sistema informático de la organización.

Aydınlık bir ofiste dizüstü bilgisayarlarıyla toplantı yapan beş sağlık çalışanı. Arkada beyaz tahta var. Çalışanlar masanın etrafında. Biri ayakta, diğerleri oturuyor. Biri kameraya gülümsüyor.

Además de dispositivos cifrados por hardware, las organizaciones sanitarias deberían considerar otras medidas de higiene de ciberseguridad, como capacitar a los empleados en las buenas practicas, implementar autenticación de varios factores y actualizar periódicamente el software y los sistemas. Incluso en organizaciones sanitarias pequeñas, las copias de seguridad periódicas en discos SSD externos cifrados por hardware pueden marcar la diferencia entre ser víctimas de ataques de ransomware y poder recuperar los sistemas rápidamente.

Mediante la implementación de un modelo multicapas para la seguridad y la integración de la protección de los datos en los hábitos de sus empleados, las organizaciones sanitarias pueden proteger eficazmente la información de sus pacientes. La integración de las unidades con cifrado por hardware IronKey de Kingston como parte de una estrategia de protección de datos puede ser un método eficaz de garantizar el cumplimiento de la HIPAA y de otras normas de protección de datos sanitarios.

Puede encontrar más productos Kingston IronKey compatibles con la necesidad de proteger los datos sanitarios, o Preguntar a un experto sobre cómo las unidades Kingston IronKey pueden ayudarle a mantener seguros los datos de sus pacientes.

#KingstonIsWithYou #KingstonIronKey

¿Esto le ha resultado útil?

Icono «Pregunte a un experto» de Kingston en un chip de placa de circuito

Pregunte a un experto

Para planificar la configuración de memoria adecuada es necesario conocer los objetivos de seguridad de sus proyectos. Permita que los expertos de Kingston le orienten.

Pregunte a un experto

Vídeos relacionados

Trisha con una enorme unidad SSD de 2,5 pulgadas en la mano, junto a una unidad SSD M.2 con un candado y un icono de Windows 5:02

Comparación del cifrado por hardware y por software

¿Cuál es la diferencia entre el cifrado por hardware y por software?

Artículos relacionados

Inicio del Blog