El acceso criminal ubicuo a Internet significa que los datos propietarios y confidenciales robados son rutinariamente malversados. Las organizaciones de salud pueden sufrir consecuencias devastadoras, ocasionalmente con repercusiones irreparables, por ransomware o malware que infecta los sistemas informáticos de la empresa, y puede llevar años de costosos litigios rectificar estas pérdidas.
Además de las formas ya conocidas de ciberataque que amenazan a los profesionales y prácticas de la salud, las organizaciones enfrentan la posibilidad de sanciones y multas relacionadas con los ataques, así como riesgos de nuevas formas de violación de seguridad a través de aplicaciones de inteligencia artificial (IA). Las organizaciones de salud pueden mitigar estos riesgos a través de una combinación de planificación avanzada y colaboración con socios comerciales de confianza.
Amenazas del extranjero
La ciberseguridad plantea un desafío único para la comunidad de la salud, porque datos protegidos sustanciales pueden ser revelados cuando se violan los registros de pacientes en grandes asaltos en línea. Estas interrupciones amenazan la integridad de las prácticas clínicas y la prestación de tratamientos médicos. Las violaciones en la seguridad de los sistemas también interfieren frecuentemente con las autorizaciones de seguros cotidianas y la distribución oportuna del pago por servicios ya prestados, así como socavan las actividades rutinarias en la prestación de cuidados, como la entrega de recetas. Un ejemplo, como lo describe la Harvard Business Review, fue el ataque de 2024 a Change Healthcare, que “paralizó la facturación médica en los Estados Unidos y empujó a cientos de sistemas de salud y prácticas médicas con dificultades financieras al borde de la quiebra”.
Estos ataques no son infrecuentemente patrocinados por gobiernos extranjeros dedicados a socavar nuestra estabilidad financiera, económica y política. Los sitios web gubernamentales como el de la Administración del Seguro Social también son objetivo de ataques fraudulentos, con consecuencias potencialmente generalizadas para un segmento significativo de la población envejecida y vulnerable. La garantía de seguridad del software se ha desarrollado para limitar el riesgo de violaciones y el daño catastrófico resultante para el público.
Dificultades en casa
Las leyes federales y estatales de privacidad crean un riesgo adicional para los clínicos desde una perspectiva regulatoria y de cumplimiento. Las violaciones de datos a menudo llevan a quejas iniciadas por agencias de supervisión gubernamentales y de licencias, incluida la Oficina de Derechos Civiles, con posibles investigaciones que resultan posteriormente en multas, sanciones y penalizaciones administrativas relacionadas. La Casa Blanca misma inició una investigación en la primavera de 2024, tras el ataque a Change Healthcare que expuso los datos de millones de estadounidenses. Una divulgación inadvertida también puede generar publicidad negativa en las redes sociales, lo que puede dañar las reputaciones profesionales de proveedores individuales o institucionales y así perjudicar la capacidad de los clínicos para ejercer e incluso para ganarse la vida.
El daño colateral, y a menudo inesperado, puede incluir limitaciones o una pérdida completa de privilegios de admisión y quirúrgicos en una instalación médica o posiblemente la exclusión de redes de pagadores de terceros, incluido CMS. Sin una estrategia previa, resolver tales consecuencias desastrosas puede llevar años de ajustes incrementales, así como gastos monetarios sustanciales.
IA para amigos y enemigos
Una amplia variedad de aplicaciones de IA puede mejorar la eficiencia administrativa e identificar posibles problemas de personal. Dicho esto, por ahora, las herramientas diseñadas para hacer recomendaciones clínicas pueden ser problemáticas, ya que pueden surgir sesgos no identificados o fallas operativas técnicas dentro del software. Y las tecnologías de inteligencia artificial en rápida evolución, también conocidas como inteligencia aumentada, complican aún más el panorama de la ciberseguridad.
Las aplicaciones de IA traen consigo el potencial de aumentar los riesgos de ciberseguridad de la salud desde múltiples direcciones:
Riesgo de que una aplicación de IA sea hackeada: El control humano, la supervisión y la vigilancia continua son vitales para la integración de herramientas impulsadas por IA en la atención médica. El riesgo de brechas de seguridad externas solo amplifica esta preocupación, dada la posibilidad de que actores malintencionados impacten negativamente en la calidad de la atención brindada, aumentando así el riesgo de resultados desfavorables. Una violación de seguridad también podría fomentar grados impredecibles de responsabilidad civil tanto para los profesionales como para las organizaciones. Alarmantemente, las herramientas de IA pueden ser más fáciles de hackear que otras tecnologías, con un mayor potencial de que los ataques pasen desapercibidos.
Riesgo de que una aplicación de IA sea utilizada por hackers: Así como las herramientas impulsadas por IA pueden ser utilizadas por la atención médica, también pueden ser utilizadas para atacarla: ChatGPT, por ejemplo, es más que capaz de generar correos electrónicos de phishing de plantilla que son más convincentes que muchos de los que los ciberdelincuentes han creado ellos mismos.
Abrazar preventivamente las aplicaciones de IA sin una evaluación cuidadosa e implementación puede ser peligroso y crear consecuencias potencialmente peligrosas e imprevistas que, a su vez, pueden obstaculizar o socavar la gestión óptima de los pacientes. La comunidad de la salud es fuertemente instada en cada paso del proceso a adoptar e integrar cuidadosamente las diversas protecciones ofrecidas por todas las facetas relevantes de la tecnología de la información y las medidas de seguridad electrónica.
Estrategias para mitigar los riesgos de ciberseguridad
Las organizaciones de salud deben trabajar proactivamente con expertos en los dominios relevantes para reconocer y mitigar los posibles riesgos de ciberseguridad. Los profesionales de la salud pueden:
Identificar circunstancias riesgosas: Los expertos en pérdida de instalaciones y ciberseguridad pueden identificar los tipos de circunstancias que pueden resultar en daños económicos u otros tipos de daños menos comprendidos para el funcionamiento de la práctica. La naturaleza exacta de estos daños varía según el modelo de negocio, pero los eventos negativos potenciales incluyen los relacionados con la responsabilidad civil, violaciones de contratos y quejas administrativas a agencias de supervisión gubernamentales, que pueden resultar en investigaciones administrativas; junto con publicaciones altamente perjudiciales y a menudo difamatorias en redes sociales, que pueden potencialmente perjudicar la reputación y la estabilidad financiera en curso de la práctica o institución.
Coordinar con profesionales de seguros: Agentes y corredores especializados en el rendimiento de la atención médica y problemas de ciberseguridad pueden determinar los tipos de protección necesarios para abordar los riesgos probables. Los practicantes pueden coordinar con estos profesionales de seguros para completar una evaluación de riesgos que incluya evaluaciones de exposición de numerosas fuentes, como reclamos por mala praxis médica, responsabilidad general por instalaciones, errores y omisiones corporativos, compensación de trabajadores y ciberseguridad. Además, las coberturas relacionadas están diseñadas para proteger contra complicaciones que pueden impedir la capacidad de un clínico para seguir ejerciendo la medicina o la odontología sin verse afectado por restricciones administrativas o sanciones monetarias. Desarrollar una evaluación de riesgos integral antes de que ocurra una crisis es fundamental para garantizar la continuidad de los servicios profesionales y la integridad operativa en caso de un evento adverso imprevisto.
Coordinar con socios comerciales: Los proveedores de atención médica, trabajando en estrecha colaboración con sus aseguradoras, pueden coordinar con socios comerciales para desarrollar políticas y procedimientos para evaluar y abordar los riesgos. Un análisis proactivo puede ayudar a la organización a dirigir sus esfuerzos para implementar las mejores prácticas mientras se mantiene consistente con los estándares comunitarios prevalecientes, que evolucionarán con el tiempo. Los clínicos y sus equipos de gestión de prácticas deben instituir auditorías periódicas rutinarias de las políticas de la oficina para garantizar que los protocolos de práctica se apliquen de manera uniforme, se actualicen a intervalos regulares para cumplir con los estándares en evolución, y se documenten adecuada y oportunamente en archivos administrativos. Dicha documentación asegura que la instalación pueda demostrar con evidencia competente y convincente que se ejerció la debida diligencia para proteger a los pacientes y asociados comerciales en caso de que una violación de seguridad resulte en procedimientos civiles o administrativos que busquen daños monetarios u otras sanciones institucionales. Seguir una estrategia de este tipo disminuirá la probabilidad de que la empresa sufra daños tanto de amenazas existentes como de posibles amenazas desconocidas, al tiempo que mejora la calidad de la eficiencia transaccional.
Aunque el sistema de salud de EE. UU. es famosamente fragmentado, las entidades están conectadas entre sí. Donde una organización es vulnerable, puede abrir inadvertidamente la puerta a ataques en otras. Del mismo modo, cada entidad que mantiene fuertes protecciones cibernéticas se protege a sí misma y a cada una de sus organizaciones asociadas, y por extensión, la integridad de todo el sistema de salud de EE. UU.