Ciberresguardo y sistema de salud

En el año 2010, la ciberarma Stuxnet, un programa de computadora de 500 kilobytes de tamaño, voló una parte importante de la planta de enriquecimiento de uranio instalada en Natanz (Irán). En el 2012, la ciberarma modular Shamoon (con capacidad de autoconfiguración) fue utilizada para infectar alrededor de treinta mil estaciones de trabajo en la empresa petrolera de mayor tamaño en el mundo: Oil Saudi Aramco. En este segundo caso el ataque fue intimidatorio, pues Shamoon, pudiendo hacerlo, no afectó los sistemas de extracción y distribución de Oil Saudi Aramco. En mayo de 2017 una agresión cibernética masiva consistió esencialmente en un "encriptado extorsivo" de archivos del usuario, utilizando herramientas de tipo ransomware con algoritmos criptográficos asimétricos (RSA), que también afectó significativamente, entre muchos otros países, al Servicio Nacional de Salud (NHS, por sus siglas en inglés) en el Reino Unido.

Ejemplos como los destacados dejaron claro que componentes de la infraestructura crítica de un país pueden ser blancos de ciberagresiones devastadoras. Estos ataques pueden provenir de ciberterroristas o de Estados naciones muchas veces mimetizados como actores no estatales. Los blancos pueden ser centrales hidroeléctricas, plantas nucleoeléctricas, destilería de petróleo, sistemas de aerotransporte, el sistema de seguridad social o algo mucho más crítico aún: el sistema general de salud de un país. Por supuesto, las barreras geográficas carecen de sentido en este medio ambiente.

La asignación de responsabilidades respecto de la ciberdefensa-ciberseguridad de los componentes de la infraestructura crítica, uno de cuyos pilares estratégicos es, precisamente, el sistema de salud de un país, es un tema que debe ser encarado con gran solvencia profesional. Al respecto se han escuchado posturas diversas. El director del Blavatnik Cyber Research Center de Tel Aviv, doctor Isaac Ben Israel, expuso los esquemas adoptados por Israel y el Reino Unido basados en la responsabilidad de los Estados y, por otro lado, el profesor de la US National Defense University, doctor Alexander Crowther, destacó la postura de Estados Unidos privilegiando el rol privado. Estos intercambios de opiniones se concretaron en el contexto del convenio de colaboración académica Universidad de Buenos Aires (UBA) – Escuela Nacional de Inteligencia (ENI). UBA-ENI han avanzado en estudios al respecto, los que incluyen aspectos tecnológicos y económicos, compartiendo los resultados con los entornos académico, social, político y empresarial.

Actualmente este es un tema de debate, de manera muy específica, en el seno del Comité Nacional de Bioética (Conabi), el cual propone enfáticamente que el elemento de la infraestructura crítica "sistema nacional de salud" sea considerado prioritario en el ámbito de la ciberdefensa-ciberseguridad de nuestro país. La tendencia a la generalización del uso de la historia clínica electrónica y la existencia de tecnología médica muy compleja y de hackeo relativamente sencillo, son algunos de los fundamentos principales.

Está claro que una parte fundamental del ejercicio profesional médico es la anamnesis, proceso por el cual se recogen datos del paciente que serán fundamentales al momento de un diagnóstico y del correspondiente tratamiento. Esa información, que ha sido siempre resguardada como requisito fundamental para establecer la vital alianza médico-paciente y que inclusive hace parte del juramento hipocrático, ahora se recoge digitalmente en centros de datos de hospitales y clínicas.

Los miembros del Conabi, compuesto por líderes religiosos y profesionales de diversas disciplinas, se comprometen a aportar para que nuestro país cuente con un cibersistema nacional de salud de muy alta confiabilidad, que respete la confidencialidad de los datos y que administre con eficacia la información y el conocimiento generados. Respecto de esto último, muy concretamente, se deberá evitar que los resultados de minerías de datos realizadas en el entorno de cibersistema nacional de salud sean vulnerables o incorrectamente derivadas a laboratorios de especialidades medicinales, servicios de inteligencia (nacionales e internacionales) o distintos tipos de organizaciones cibercriminales, con especial atención en el cibercrimen organizado transnacional.

El autor es miembro del Comité Nacional de Bioética (Conabi) y director de la Maestría en Ciberdefensa y Ciberseguridad en la UBA.