### Alerta en el sector asistencial: Brechas en la autenticación de identidad exponen a pacientes a cuidadores no cualificados

#### Introducción

La proliferación de incidentes relacionados con la suplantación de identidad en el sector de asistencia domiciliaria ha puesto en jaque la seguridad tanto de los pacientes como de las organizaciones proveedoras de servicios de salud en el hogar. Los recientes informes sobre cuidadores que ejercen con credenciales falsas o identidades usurpadas, han evidenciado la urgente necesidad de fortalecer los procesos de autenticación y verificación de personal, especialmente en un contexto donde el acceso remoto y la digitalización de los servicios es cada vez más frecuente.

#### Contexto del Incidente

Durante el último año, diferentes entidades de salud y aseguradoras han reportado un aumento significativo de casos en los que auxiliares de atención domiciliaria han sido descubiertos utilizando identidades falsas o manipulando documentación para acceder a puestos de trabajo. Estos incidentes no solo comprometen la integridad y seguridad de los pacientes, sino que también exponen a los proveedores a importantes riesgos legales y regulatorios. Los informes más recientes, provenientes de organismos reguladores y plataformas de denuncia (como la Agencia Española de Protección de Datos y la National Health Service Digital), han detectado un incremento del 35% en fraudes de identidad en el sector durante 2023.

#### Detalles Técnicos

El vector de ataque predominante consiste en la falsificación de documentos de identidad y credenciales profesionales, junto a la explotación de deficiencias en los sistemas de onboarding digital de las empresas. La ausencia de mecanismos robustos de autenticación multifactor (MFA), así como la falta de integración con sistemas centralizados de verificación de titulaciones (por ejemplo, el Registro Nacional de Titulados en España), facilitan la infiltración de individuos no autorizados.

Desde una perspectiva MITRE ATT&CK, los atacantes emplean técnicas como «Spearphishing Attachment» (T1566.001) para obtener acceso inicial a plataformas internas o «Valid Accounts» (T1078) mediante el uso de credenciales robadas o falsas. En algunos casos, se han identificado indicadores de compromiso (IoC) tales como patrones anómalos en los logs de acceso, dispositivos no registrados conectados a sistemas de gestión de pacientes y uso de direcciones MAC asociadas a equipos previamente comprometidos.

Existen pruebas de concepto (PoC) y herramientas en el mercado negro que permiten generar documentación falsa con un alto grado de sofisticación, e incluso existen módulos en frameworks como Metasploit para el reconocimiento y explotación de sistemas de onboarding débiles. Según datos de investigaciones recientes, cerca del 12% de los intentos de acceso no autorizado a plataformas de gestión de pacientes en 2023 se relacionaron con credenciales apócrifas.

#### Impacto y Riesgos

Las consecuencias de estos incidentes son multidimensionales. Desde el punto de vista operativo, se incrementa el riesgo de daño físico y psicológico a los pacientes, así como la exposición a robos de información sensible protegida por el GDPR. A nivel económico, los costes asociados a la detección, notificación y remediación de estos fraudes pueden alcanzar hasta 1,2 millones de euros por incidente, según el último informe de Ponemon Institute.

La reputación de las empresas afectadas se ve severamente dañada, y la sanción por incumplimiento de la normativa GDPR puede oscilar entre el 2% y el 4% de la facturación anual global. Además, la nueva directiva NIS2 refuerza la obligatoriedad de implementar controles estrictos de identidad y autenticación en infraestructuras críticas, incluyendo las sanitarias.

#### Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, los expertos recomiendan:

– Implementación de autenticación multifactor y biométrica para el acceso a sistemas críticos.
– Integración de herramientas de verificación documental basadas en IA, capaces de detectar manipulaciones en credenciales.
– Auditorías periódicas y monitorización de logs de acceso y comportamiento del usuario.
– Formación continua del personal de recursos humanos y seguridad en la detección de patrones de fraude.
– Colaboración con organismos oficiales para el cruce automatizado de información académica y profesional.

El uso de soluciones como Microsoft Entra ID, Okta o herramientas de verificación documental como Onfido o Veriff, se está consolidando como una tendencia clave en el sector.

#### Opinión de Expertos

Consultores de ciberseguridad y responsables de cumplimiento advierten que la debilidad en los procesos de autenticación es la «puerta de entrada» para amenazas internas y externas. Juan Martínez, CISO de una importante red de clínicas privadas en España, subraya: “La digitalización no puede ir desligada de una política de identidad digital robusta y auditada. La combinación de MFA y verificación documental automatizada es ineludible, especialmente tras la entrada en vigor de NIS2”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones que no refuercen sus sistemas de autenticación se exponen a pérdidas financieras, sanciones regulatorias y pérdida de confianza de sus clientes. Para los usuarios, la principal amenaza es la exposición a daños personales y la vulneración de su privacidad. La tendencia de digitalización y teleasistencia sanitaria incrementa la superficie de ataque y, por tanto, la urgencia de adoptar controles avanzados.

#### Conclusiones

La aparición de cuidadores no cualificados operando bajo identidades falsas es un síntoma de una brecha sistémica en la ciberseguridad del sector asistencial. El refuerzo de los procesos de onboarding y la autenticación de identidad, apoyados en tecnologías de última generación y alineados con las exigencias normativas, es imprescindible para reducir la exposición a estos riesgos. La colaboración intersectorial y la concienciación serán claves en el futuro inmediato.

(Fuente: www.darkreading.com)