La telemedicina è davvero sicura?

I servizi e le app di telemedicina stanno aumentando in popolarità in questo momento, aumentando sempre di più la disponibilità dei servizi medici. Ma quanto è sicura la telemedicina e che tipo di rischi comporta?

I pericoli della telemedicina: violazioni dei dati, phishing e spam

Molte persone vedono la telemedicina come uno dei massimi risultati del progresso scientifico: in pratica è possibile ottenere un consulto medico in cinque minuti senza mai alzarsi dal divano. Ma c’è un problema…

I dati medici vendono nei mercati neri o grigi decine di volte di più rispetto ai dati della carta di credito o agli accessi ai social media. A differenza di una carta di credito, che può essere semplicemente bloccata e sostituita, non è possibile azzerare esattamente la storia medica. Il nome, la data di nascita, l’indirizzo, il numero di telefono, l’ID assicurativo, le diagnosi, i risultati dei test, le prescrizioni e i piani di trattamento possono essere utilizzati per anni. Si tratta di una miniera d’oro per qualsiasi cosa, dal marketing mirato al ricatto, alla frode o al furto di identità.

E con l’ascesa dell’IA, Internet è ora invaso da siti Web falsi che affermano di offrire servizi medici ma in realtà sono progettati per estrarre informazioni riservate da vittime ignare. Oggi ci addentreremo nei dettagli medici a rischio, spiegheremo perché gli hacker li vogliono e come è possibile fermarli.

Più preziosi delle carte di credito

I truffatori monetizzano i dati medici rubati sia in blocco che tramite vendite individuali. La loro prima mossa è solitamente quella di estorcere un riscatto alle aziende che hanno violato con successo. (Infatti, nel 2024, il 91% delle fughe di dati sanitari negli Stati Uniti correlate a malware era il risultato di attacchi ransomware.) Ma in seguito, i dati divulgati vengono utilizzati per attacchi personali individuati. Consente agli hacker di costruire un profilo medico di una vittima (i medicinali acquistati, la frequenza e cosa impiegano a lungo termine) per poi vendere tali informazioni a grandi case farmaceutiche o esperti di marketing, o di utilizzarle per truffe di phishing mirate come lanciare una falsa cura innovativa. Possono persino ricattare un paziente per una diagnosi delicata o utilizzare le informazioni per assegnare un punteggio in modo fraudolento alle prescrizioni di sostanze controllate. Inoltre, anche le compagnie di assicurazione sono molto interessate a questo tipo di dati. Analizzano questi dettagli per aumentare i premi assicurativi per i pazienti o, in alcuni casi, rifiutarsi del tutto di fornire una copertura. In breve, ci sono molti modi in cui possono usare questi dettagli a discapito degli utenti.

Quanto è pericoloso?

La più grande violazione dei dati medici della storia si è verificata a febbraio 2024, quando il gruppo di hacker BlackCat ha fatto irruzione nei sistemi di Change Healthcare. Si tratta di una divisione del Gruppo UnitedHealth, che elabora circa 15 miliardi di transazioni assicurative all’anno e funge da intermediario finanziario tra pazienti, operatori sanitari e compagnie assicurative.

Per nove giorni, gli autori dell’attacco hanno vagato liberamente attraverso i sistemi interni di Change Healthcare, sottraendo sei terabyte di dati riservati prima di lanciare definitivamente il ransomware. UnitedHealth è stata costretta a disattivare completamente i data center di Change Healthcare per impedire la diffusione del criptaggio, e hanno finito per pagare un riscatto di 22 milioni di dollari agli estorsori. L’attacco ha di fatto paralizzato il sistema sanitario statunitense. Il numero delle vittime è stato rivisto tre volte: prima 100 milioni, poi 190 milioni, e il conteggio finale ha raggiunto il numero sbalorditivo di 192,7 milioni di persone, con un danno totale stimato in 2,9 miliardi di dollari. E il motivo (da parte di Change Healthcare) di questo enorme incidente — che abbiamo analizzato in dettaglio in un post separato è stato semplicemente… la mancanza di autenticazione a due fattori in un portale di accesso desktop remoto.

In precedenza, la startup di telemedicina per la salute mentale Cerebral incorporava strumenti di tracciamento di terze parti direttamente nel proprio sito Web e nelle proprie app. Di conseguenza, i dati di 3,2 milioni di pazienti, inclusi nomi, precedenti medici e di prescrizioni e informazioni assicurative, sono stati divulgati su LinkedIn, Snapchat e TikTok. La Federal Trade Commission degli Stati Uniti ha inflitto all’azienda una multa di 7,1 milioni di dollari e ha emesso un divieto senza precedenti sull’utilizzo dei dati medici a fini pubblicitari. A proposito, quella stessa startup ha fatto notizia anche per l’invio ai propri clienti di cartoline promozionali senza buste, con i nomi dei pazienti e frasi che rendevano facile per chiunque capire la propria diagnosi.

Perché la telemedicina è così vulnerabile

Diamo un’occhiata ai principali punti deboli dei servizi di telemedicina.

  • Ad tracker nelle app mediche. I tracker di Facebook, TikTok, Snapchat e altri colossi della tecnologia vengono spesso inseriti direttamente nelle piattaforme di telemedicina, divulgando i dati dei pazienti agli inserzionisti senza che gli utenti se ne accorgano.
  • Canali di comunicazione non protetti. A volte i medici chattano con i pazienti tramite normali app di messaggistica anziché piattaforme mediche certificate. È comodo, certo, ma è illegale per la clinica e totalmente pericoloso per il paziente.
  • Vulnerabilità della piattaforma Le piattaforme di telemedicina sono soggette ai classici attacchi Web, come le SQL injection che consentono agli hacker di eseguire il dump di interi database dei pazienti, l’hijacking delle sessioni e l’intercettazione dei dati quando il criptaggio della connessione è debole o inesistente.
  • Scarsa formazione del personale. La nostra ricerca ha mostrato che il 30% dei medici ha gestito dati dei pazienti compromessi in particolare durante le sessioni di telemedicina e il 42% del personale medico non comprende effettivamente come vengono protetti i dati dei pazienti.
  • Dispositivi medici obsoleti. Molti dispositivi medici indossabili (come monitor cardiaci o bracciali per la pressione sanguigna) utilizzano un vecchio protocollo di trasferimento dei dati chiamato MQTT. È pieno di falle che potrebbero potenzialmente consentire agli hacker di rubare informazioni riservate o addirittura di pasticciare con il funzionamento del dispositivo.

Lo spam e il phishing nella telemedicina

Gli hacker non sono gli unici interessati al campo medico: anche spammer e truffatori sono ovunque. Propongono “servizi medici” con accordi che sembrano troppo belli per essere veri, inviano e-mail su presunte modifiche all’assicurazione sanitaria o parlano di “antiche tradizioni curative himalayane”. Naturalmente, tutti i collegamenti inviati rimandano a siti Web sospetti che offrono beni o servizi dubbi.

E-mail di spam che sembra provenire da Medicare, il programma nazionale di assicurazione sanitaria degli Stati Uniti
Spam che si spaccia per Medicare, il programma nazionale di assicurazione sanitaria degli Stati Uniti. L'utente viene informato falsamente che le condizioni assicurative sono modificate nel tentativo di adescarlo a un sito Web falso
Truffatori che pubblicizzano tradizioni miracolose himalayane per la cura del diabete
CURARE IL DIABETE È FACILE: tutto ciò che devi fare è... I truffatori promuovono una sorta di miracolosa tradizione himalayana per la cura del diabete. Ma perdere i soldi è l'unica garanzia!
Annuncio dubbioso per un rimedio per un'infezione fungina con uno sconto del 70%
E, naturalmente, non possiamo dimenticare la classica "cura miracolosa" per un'infezione fungina, ora con uno sconto del 70%, naturalmente

Se dovessi approdare su un sito di phishing del genere, i truffatori cercheranno di spremere da te ogni piccola informazione privata possibile: foto della tua carta d’identità, polizza assicurativa, prescrizioni e, talvolta, anche… foto di parti del corpo che presumibilmente necessitano di cure mediche. Da lì, questi dati possono essere scaricati e venduti nel Dark Web o utilizzati per ricatti, estorsioni e successivi attacchi di phishing. Per ulteriori informazioni sul funzionamento della catena di montaggio dati sotterranea, consulta il nostro post Cosa succede ai dati rubati tramite il phishing?

Sito Web di una clinica contraffatta con un design convincente
Sito Web di una clinica contraffatta con un aspetto piuttosto convincente. I truffatori hanno persino creato pagine per "personale medico", "dipartimenti" e "ricerca". Tuttavia, per qualche motivo, non troverai un'informativa sulla privacy o le condizioni per l'utilizzo da nessuna parte in questo sito
Uno strumento di diagnostica dell'IA raccoglie una grande quantità di dati personali
Un altro sito Web sospetto offre una diagnostica dell'IA, chiedendo un sacco di informazioni personali: nome completo, numero di telefono, e-mail, prestazioni mediche richieste, anamnesi e farmaci correnti
Sito di truffa che offre screening della salute visiva analizzando le foto caricate della lingua e degli occhi
Questo sito di truffa offre agli utenti "screening della salute visiva tramite l'IA": tutto ciò che devi fare è caricare le foto della lingua e degli occhi! Ricorda solo che le scansioni della retina a volte vengono utilizzate per l'autenticazione biometrica

Come regola generale, i siti falsi di cliniche di solito ignorano la sezione relativa all’informativa sulla privacy e ti bombardano di offerte “disponibili solo oggi” che sembrano troppo belle per essere vere. Detto questo, con l’aiuto dell’IA, creare un sito dall’aspetto professionale e indistinguibile da quello reale ora è un gioco da ragazzi: non sono necessarie nemmeno capacità di progettazione o padronanza della lingua della vittima. Questo è esattamente il motivo per cui consigliamo di utilizzare la nostra suite di protezione completa: è progettata per fiutare spam, truffe e phishing e avvisare l’utente della presenza di siti Web falsi prima di arrivarci.

Suggerimenti di sicurezza per i pazienti in telemedicina

  • Imposta un indirizzo e-mail dedicato per i servizi medici. Se questo indirizzo viene divulgato a causa di una compromissione di una clinica, diventa molto più difficile per i truffatori tenere traccia del resto della tua vita digitale.
  • Evita di utilizzare Google, Apple o l’accesso ai social media per i siti di telemedicina. Tenere le cose separate rende molto più difficile collegare i dati medici agli account personali.
  • Ricontrolla la piattaforma che viene utilizzata per la consulenza. Se la clinica suggerisce una chiamata o una chat tramite un’app di messaggistica standard, si tratta di un segnale di allarme. Un portale per il paziente protetto e criptato fornito dalla clinica è notevolmente più sicuro.
  • Non inviare mai documenti medici tramite app di chat o social media. Carica sempre risultati di laboratorio, scansioni e record tramite il portale ufficiale per i pazienti della clinica.
  • Utilizza una password univoca e complessa per ogni account. Il portale del governo, l’accesso alla clinica e l’app di prenotazione del medico devono disporre di una password distinta. Kaspersky Password Manager può generarli e archiviarli tutti al posto tuo; esegue inoltre la scansione periodica dei database che rilevano perdite e avvisa l’utente se uno degli account è compromesso.
  • Attiva l’autenticazione a due fattori. Esegui questa operazione innanzitutto per i servizi governativi e le organizzazioni mediche. È consigliabile utilizzare un’app di autenticazione anziché i codici SMS: è più sicura e totalmente anonima. Kaspersky Password Manager può aiutarti anche qui.
  • Condividi solo ciò che è necessario. Non sentirti obbligato a compilare tutti i campi facoltativi nelle app mediche o nei siti Web. Meno dati vengono archiviati in un servizio, meno dati possono essere divulgati.
  • Presta attenzione alla condivisione delle informazioni sulla salute sui social media o nelle app di chat. I truffatori amano sfruttare le persone quando sono vulnerabili. Ad esempio, nel 2024 gli hacker si sono guadagnati la fiducia dello sviluppatore XZ Utils che aveva pubblicato messaggi pubblici su burnout e depressione. Lo hanno convinto a cedere il controllo del suo strumento, che hanno quindi caricato con codice dannoso. Poiché XZ Utils è utilizzato in tantissimi sistemi Linux e colpisce OpenSSH (un protocollo per le connessioni remote ai server), l’attacco avrebbe potuto distruggere un’enorme fetta di Internet se non fosse stato bloccato per tempo.
  • Non installare le app di telemedicina di sviluppatori sconosciuti. Consulta le recensioni e dedica un minuto a sfogliare l’informativa sulla privacy: anche le principali piattaforme potrebbero condividere i dati con terze parti.
  • Tieni d’occhio la cartella clinica Strane prescrizioni, visite mediche che non hai mai effettuato o medicinali di cui non hai mai sentito parlare possono essere tutti segni di una compromissione del tuo account.
  • Configura e aggiorna periodicamente i dispositivi sanitari. Fitness tracker, misuratori della pressione sanguigna, bilance intelligenti e tracker attività inviano tutti i dati al Web. Impostazioni improprie o vulnerabilità senza patch rappresentano una porta aperta per le violazioni dei dati.

Altre informazioni da sapere sulla protezione della salute online:
Fughe di cervelli: vulnerabilità nelle app per la salute mentale
Perché i broker di dati creano dossier su di te e come impedirgli di farlo
In che modo la chat con un bot può portare a una tragedia
App per il controllo del ciclo e privacy
Cinque problemi della telemedicina

Consigli
  • Tutti gli altri paesi