El problema de guardar expedientes médicos mentales en la Red
Por Adán Salgado Andrade
En la actualidad, el Internet es de una extensión y complejidad tal que, por lo mismo, ya no es lo seguro que era en un principio, cuando los hackers apenas estaban entendiendo su funcionamiento.
Pero se han refinado tanto, que han asestado brutales golpes con sus ataques masivos, como el que tuvo lugar el 27 de junio del 2017, bautizado como NotPetya, que fue tan destructivo, que muchas empresas, hospitales, instituciones públicas, bancos, personas… perdieron valiosa información, sin la cual, hasta dejaron de funcionar (ver: http://adansalgadoandrade.blogspot.com/2018/12/las-muy-destructivas-ciberguerras.html).
Y son tan irracionales esos ataques, que, muchas veces, ni los mismos que los provocan, pueden solucionarlos. Deben de entrar en acción contrahackers, como Marcus Hutchins, quien detuvo uno de tales ataques, el WannaCry, también en el 2017 (ver: http://adansalgadoandrade.blogspot.com/2020/05/de-como-el-fbi-arresto-al-heroe-que.html).
A pesar de tal inseguridad, se sigue usando al Internet como la forma de interrelacionarse entre la gente y empresas, bancos o instituciones, sin que vayan a la par los sistemas de seguridad, que eviten hackeos de datos o bloqueos de operaciones, que cada vez son más frecuentes, pues aumenta la habilidad de los cibercriminales.
Es lo que sucedió recientemente en Finlandia, a una empresa dedicada a brindar servicios de psicoterapia por línea, como expone el artículo de Wired, titulado “Ellos les contaron a sus terapeutas todo. Los hackers, lo divulgaron todo”, firmado por William Ralston, quien agrega que “Una empresa nueva de salud mental, construyó su negocio con tecnología fácil de emplear. Los pacientes, se unieron por cientos. Entonces, vino una catastrófica fuga de datos” (ver: https://www.wired.com/story/vastaamo-psychotherapy-patients-hack-data-breach/).
La empresa, Vastaamo, fundada por Ville Tapio, un muy hábil programador, tenía unos 30,000 pacientes, cuando comenzaron a recibir mensajes que decían “Si recibimos €200 equivalentes en Bitcoins, en 24 horas, su información será permanentemente borrada de nuestros servidores. Si no cumple, le daremos otras 48 horas, para entregarnos €500 o €600. Si ni así cumple, su información será publicada para que todos puedan verla”.
Obviamente, para toda la gente que recibió esa amenaza, era algo muy comprometedor, pues, sólo imaginen el tipo de confesiones que se le hacen a un psicólogo. Algunos de los expedientes, “pertenecían a políticos y otras figuras públicas. Contenían detalles acerca de relaciones adúlteras, intentos suicidas, pensamientos pedófilos”, dice Ralston.
Y comenta cómo fue que Tapio, muy hábil, como dije, para la programación, pensó en fundar esa empresa, “para facilitar que la gente pudiera acudir a una terapia mental, sin tener que trasladarse”.
Por lo mismo, en su intento de facilitarse él mismo las cosas, recurrió a instrumentos ya existentes para crear la, digamos, clínica mental virtual. Lo único que él tuvo que hacer, fue un programa para que todas las notas que tomaran los psicólogos sobre los pacientes, se almacenaran en la nube, además de que tenían que conectarse a Kanta, que es el “soporte nacional de datos de salud de Finlandia”.
Y todo parecía ir muy bien. Vastaamo, conectaba a pacientes con psicólogos y psiquiatras de 20 clínicas, sin mayor problema. Y todo lo que salía de las sesiones, como se debe de hacer, se escribía y se almacenaba en un servidor público, MySQL.
Y le fue tan bien, que en el 2019, que tenía operando, además de las 20 clínicas mencionadas, a 200 terapeutas, la empresa financiera Intera Partners, compró la mayoría de las acciones de Tapio y de sus padres, sus “socios” en la lucrativa empresa, que ya le rendía 18 millones de dólares para ese año. “Tapio, se llevó 4 millones de dólares, su parte de la transacción”.
Ralston explica que Finlandia, país de sólo 5.5 millones de habitantes, “tiene mucho cuidado en la salud mental de su población y por eso, empresas como Vastaamo, son tan solicitadas por la gente”. Eso es bueno, que un país también se ocupe de la salud mental de su población, la cual, en estos tiempos tan complicados, no sólo por la pandemia, sino, de por sí, tan materialistas, tan vacíos, que la gente basa su “felicidad” en el consumismo compulsivo, requiere de terapias mentales, para que se convenza de que no todo es tener mucho dinero, sino un sano espíritu, que aprecie la Naturaleza, que la proteja, que cuide bosques, ríos, océanos…
“Vastaamo era el McDonald’s de la psicoterapia”, menciona Ralston lo que le comentó un periodista finlandés, refiriéndose a que esa empresa comercializó las terapias mentales de forma tal que era fácil, tanto para pacientes, así como para los terapeutas, entrar en contacto. Y eso, masificó la atención mental, “facilitándola a miles de personas”.
El problema es que Tapio, nunca se ocupó de la seguridad del sitio, a pesar de que siguió creciendo. Mikael Koivukangas, jefe de R&D de una firma médica finlandesa, llamada Onesys Medical, dice que el sistema de Vastaamo violó uno de los primeros principios de la ciberseguridad, “no hizo anónimos los expedientes, no los encriptó. La única protección para proteger las confesiones y confidencias de los pacientes eran un par de firewalls y una pantalla para acceder con el password. Cualquiera con experiencia en el campo, pudo haber ayudado a Vastaamo a diseñar un sistema más seguro”.
Tenía a dos programadores, que se encargaban de la operación y “seguridad”, Ilari Lind y Sami Keskinen, previamente envueltos en un problema de hackeo de datos. “De haberlo sabido, no los contrato”, clama Tapio. Y esos supuestos “expertos”, curiosamente, no previeron el ataque, ni que la empresa estuviera sin protección de los firewalls “durante más de un año”.
Y no ha parado allí el problema, sino que otros once sitios de hackers presentan todos los datos de los miles de pacientes de Vastaamo.
Para mayor desgracia de Tapio, Intera Partners, la financiera que le había comprado la mayoría de las acciones, cuando fue efímeramente famosa Vastaamo, exigió su capital. Y al ponerse a la venta, quiere que Tapio le devuelva los 11.7 millones de dólares, que fue lo invertido. De hecho, Tuomas Kahri, uno de los ejecutivos de Intera, se molestó más, pues “varios de los expedientes de sus familiares estaban entre los hackeados”.
Uno de los pacientes, Jere, un chico de 22 años, que fue uno de los miles que recibieron el mensaje de que debía de pagar, “prefirió no hacerlo, pues no estaba seguro de que, realmente, fueran a desaparecer el expediente, en el que habla cosas sobre su madre y teme que si ella se entera, vayan a terminar su relación para siempre”.
No cabe duda que la acción de esos mezquinos hackers, fue muy baja, pues una cosa es secuestrar digitalmente a una empresa, un Walmart, por ejemplo, y otra, apoderarse de información tan confidencial y sensible, como confesiones y secretos de la gente a sus psicólogos.
“Ya ha habido otros dos hackeos de datos médicos”, señala Ralston, “pues los hackers han visto que es muy lucrativo apoderarse de expedientes y amenazar con exhibirlos públicamente”.
No cabe duda que, con tal de enriquecerse, mucha gente hace totalmente a un lado los escrúpulos, la ética, la sensibilidad.
Eso mismo podría decirse de Tapio, quien “hasta compraba anuncios en Google para publicitar sus servicios de terapia mental”.
En su obsesión por volverse millonario rápidamente, manejó muy irresponsablemente información confidencial, como si fueran recetas para hacer pan.
Quizá, él mismo, debió de someterse a una buena terapia mental.
Contacto: studillac@hotmail.com