Select Page
Blockchain… hasta el bitcoin y mas allá!!! (parte 1)

Blockchain… hasta el bitcoin y mas allá!!! (parte 1)

Si bien la blockchain fue creada para soportar al bitcoin, hoy en día existen muchos otros usos de la Blockchain. En esta primera parte les mostraré algunos de los usos no-criptomoneda de la Blockchain.

Una de las principales razones para la creación del bitcoin, fue el deseo de diseñar un sistema descentralizado de intercambio de moneda, que asegure la inmutabilidad de sus datos. Esto es tanto respecto a los parámetros intercambiados (en este caso: moneda) como en la secuencia, las fechas y las direcciones. Sin embargo, estas características no sólo son útiles en el intercambio de moneda, sino para muchas otras aplicaciones.

A continuación les listo algunas de las principales aplicaciones de la Blockchain exceptuando las criptomonedas.

 

#1- Contratos inteligentes

Esta es uno de los usos extra-bitcoin más habitual y natural. La primera red en la que se comenzó a usar la Blockchain para validar contratos inteligentes fue Ethereum. Su moneda asociada, el Ether (ETH), cotiza en el mercado como miles de otras criptomonedas. Además de Ethereum existen otras plataformas como Ethereum Classic (ETC), Blockchain que sufriera recientemente un ataque del 50%+1; Hyperledger, Stellar (XLM) o Qtum (QTUM). Una comparación entre las diferentes Blockchains que manejan Smart Contracts se puede encontrar aquí.

 

#2- Identidad digital

La posibilidad de mejorar la capacidad de identificar personas, profundamente asociado a los derechos de cada individuo, se está viendo potenciada mediante la Blockchain. Esta iniciativa la siguen organizaciones como ID2020 que pretende resolver para el año 2030, que todos los individuos del mundo tengan identidades legales. Para esto existen Blockchains como BanQu cuyo objetivo es el crear oportunidades económicas para personas de todo el mundo refugiados o que viven en extrema pobreza. Esto lo hace mediante el otorgamiento de identidades inmutables basadas en la Blockchain.

En el otro extremo, VISA, junto con IBM están creando un sistema de identidad digital basado en Blockchain. El objetivo es realizar pagos B2B internacionales.

Sin embargo, están quienes temen que estas iniciativas se vuelvan en contra de los mismos individuos.
Mientras tanto, la tecnología avanza y estas aplicaciones se encuentran en marcha.

 

#3- Seguros

En aplicaciones como los seguros, los individuos u organismos contratan pólizas que se procesan en papel. Es por eso que los reclamos y pagos son suceptibles a errores y casi siempre requieren supervisión humana. A esto se suma la complejidad inherente a los seguros, que involucra a consumidores, corredores, aseguradores y reaseguradores. Cada paso en este proceso es un punto potencial de falla. La información puede perderse, las pólizas malinterpretarse, aumentar la posibilidad de fraudes y los tiempos de liquidación alargarse. Por este motivo, en los últimos años los grandes jugadores mundiales en este negocio comenzaron a utilizar la Blockchain como herramienta de inmutabilidad. Con esto pretenden manejar el negocio de forma mucho más justa y eficiente.

Algunas de las Blockchains utlizadas para este propósito son Ethersic, Insurwave, Insurchain (INSUR),  RSK (RBTC) empresa argentina que utiliza la Blockchain de bitcoin para contratos inteligentes de seguros, entre otras.

 

#4- Seguros médicos

Si bien este es un caso particular de los seguros, tiene sus propias características y por eso las separé.

Debido a la necesidad de confidencialidad de los datos de los pacientes, los prestadores suelen no tener acceso a las historias clínicas completas. Por otra parte, la falta de datos puede dar lugar a rechazos en los reclamos de seguros, lo que le significa un altísimo costo a los sistemas de salud. Mediante el uso de la Blockchain, es posible encriptar la información de los pacientes, facilitando la transferencia de información y protegiendo al mismo tiempo su privacidad.

Se estima que el mercado de la salud mejorará muchísimo a partir de la utilización de esta tecnología.

Algunas de las muchas aplicaciones que utilizan la blockhain para registros médicos son: MedRec, la eslovena Iryo o la estonia Guardtime. Esta última, además de aplicaciones de salud, posee muchas otras  basadas en la sólida y probada Blockchain KSI.

continuará…

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
El botín más preciado

El botín más preciado

 

Si al lector descuidado se le preguntara qué clase de información cree que es la más apreciada como objeto de robo por parte de los ciber-delincuentes, probablemente responda: “los datos de cuentas bancarias o tarjetas de crédito”. Nada más alejado de la realidad. 

La suma de contra-medidas con los que cuentan hoy en día los sistemas bancarios y los de las tarjetas de crédito (o al menos algunos de ellos), hacen que la posibilidad de sacar rédito a esta información no sea tan fácil. Por este motivo, el robo de esta información a sitios donde existen bases de datos inmensas con datos de clientes se hace, pero no es tan atractivo. Casos famosos como los de Equifax en su incidente inicial y en su reciente descubrimiento lo demuestran.

Sin embargo, el botín más preciado hoy en día no son los datos de las tarjetas de crédito sino la información de registros médicos de las personas. En la actualidad se está utilizando, en particular en Estados Unidos, el denominado EHR (Electronic Health Record o Registro de Salud Electrónico) o EMR (Electronic Medical Record oRegistro Médico Electónico). Esta información permite a los médicos contar con información médica actualizada, verificada, ordenada y completa de los pacientes que les permite brindar un mucho mejor servicio.

Más aún, muchos de los hospitales, las clínicas, los laboratorios, los centros de diagnóstico en el mundo cuentan con tecnología muy avanzada para el cuidado de la salud y el diagnóstico. Los sistemas son cada vez más complejos y están cada vez más conectados por lo que utilizan toda esta información de los pacientes que está almacenada en múltiples bases de datos, y circulan por múltiples redes.

Pero esta información tan rica y tan útil para pacientes y médicos, también lo es para los ciber-delincuentes. Para ellos, poder obtener información sensible de la salud de la población, saber su información demográfica, nombre, información histórica del lugar donde vive, lugares de trabajo, nombres y edades de los parientes, historial médico; incluidas las visitas a los médicos y los diferentes diagnósticos recibidos incluyendo: cáncer, enfermedades de transmisión sexual, enfermedades psiquiátricas o enfermedades raras que requieren tratamientos carísimos, son de altísimo valor en el mercado negro.

Tanto es así, que el valor que se paga por un registro médico robado,  puede variar de entre 400 a 4.000 veces el valor de un registro de un número de una tarjeta de crédito. 

Al contrario que los casos de robos de datos de tarjetas de crédito, los casos de robo de registros médicos se multiplican en forma constante. Los más famosos, por mencionar algunos, son: 26 millones de registros robados al sistema de salud de Inglaterra NHS en marzo de 2017; 3.3 millones de datos a la empresa de tarjetas de identificación médica Newkirk Products, Inc; 3.7 millones de datos robados a la empresa de salud Banner  Health enagosto de 2016;  4 millones de registros robados a la empresa Advocate Health Care Network, que maneja 12 hospitales y más de 200 centros de tratamiento en Estados Unidos; y la lista sigue.

Y aquí se presenta una combinación mortal de tres factores: 1) el enorme valor que tiene esta información en el mercado negro; 2) las pobres medidas de seguridad que suelen aplicarse en los hospitales, centros de salud y de diagnóstico y tratamiento; y 3) las vulnerabilidades intrínsecas que posee el equipamiento médico de última generación.

Sobre el tercer punto en particular, cabe mencionar que existe gran cantidad de reportes e informes que demuestran lo peligroso de estas vulnerabilidades. Este reporte, realizado en 50 centros de salud de Estados Unidos durante 2017, menciona que el 51% de los dispositivos vulnerables a ataques corresponden a sistemas de imágenes médicas. Teniendo en cuenta además, que cerca del 20% de los dispositivos electrónicos instalados corresponden a sistemas de imágenes, la superficie de ataque se vuelve inmensa y la probabilidad de ser blanco de ataques, altísima.
El mismo informe menciona además, que la mayor parte de las fallas técnicas de seguridad corresponde a tener los sistemas operativos desactualizados, utilizar contraseñas o sistemas de autenticación débiles. Pero hay otra falla muy importante; del total de problemas de seguridad descubiertos, el 41% corresponde a errores o prácticas débiles por parte de los usuarios. Estas prácticas consisten en que los usuarios tienen la posibilidad (y lo hacen) de instalar aplicaciones inseguras en los equipos que manejan dispositivos médicos, y hasta navegar por Internet! De esta forma abren la puerta a que un sitio malicioso o infectado, descargue malware en el equipamiento médico y lo infecte. Otra vez el eslabón más débil de la cadena: el usuario que no posee la conciencia suficiente de los peligros en el ciber-espacio.

Tan grave es la situación, que el departamento de salud de Estados Unidos creó el ‘US Department of Health and Human Services  “Wall of Shame” donde todas las instituciones de salud del país están obligadas a reportar cualquier ciber-incidente de seguridad que haya afectado la privacidad de por lo menos 500 registros de datos de salud.

Más allá del valor que posee cada registro en el mercado negro, la pérdida o difusión de esta información tiene un costo económico. De acuerdo al Instituto Ponemon (página 13 del informe) el costo de cada registro perdido en el año 2017 fue de U$S 380. Le dejo al lector la tarea de multiplicar ese número por la cantidad de registros robados en los casos mencionados más arriba.

Y esto se produce aún a pesar de los enormes esfuerzos que se están haciendo para evitar este daño. Por ejemplo, en Estados Unidos en particular, existe desde el año 1996 una ley cuyo objetivo es el de proteger los datos médicos de los pacientes, la ley se denomina HIPAA (Health Insurance Portability and Accountability Act) que deben cumplir todos los centros y profesionales de la salud.   

Del mismo modo en que nos preguntamos en notas anteriores, nos volvemos a preguntar: ¿Qué queda para nosotros de este lado del mundo?

Hoy en día la tecnología de diagnóstico y tratamiento médico está cada vez más avanzada y, por otro lado, la posibilidad de importar equipamiento se ha facilitado enormemente en los últimos años. Estamos importando equipamiento cada vez más complejo, que se conecta necesariamente a las redes almacenando y transmitiendo datos sensibles y confidenciales de la salud o de los pacientes. Esto nos sirve para facilitarle la vida a pacientes y médicos brindándoles información online de los diagnósticos. Estamos además, cumpliendo muy bien con el medio ambiente reduciendo enormemente la impresión de resultados de diagnósticos.
Sin embargo, ¿estamos protegiendo esos datos de la forma que deberíamos? ¿Las tecnologías de diagnóstico y tratamiento son las mismas que están siendo utilizadas y atacadas en los países donde se desarrollan, pero las medidas de ciber-seguridad son las mismas? Y las medidas de concientización a los usuarios (médicos, técnicos, profesionales) sobre el uso de estas tecnologías, ¿son las adecuadas?

¿Qué pasaría si se robaran en nuestro país datos confidenciales de salud de cientos de miles de pacientes? ¿Qué pasaría si un ransomware (como por ejemplo Wannacry) cifrara todos los datos de un base de datos de un hospital y los datos de pacientes en riesgo, por ejemplo, se volvieran inaccesibles?

La tecnología abre las puertas a mundos fascinantes y fabulosos que nos ayudan a mejorar nuestra vida y, en este caso, no sólo a mantenernos comunicados sino a tratar vincularse con nuestra salud. Pero esta misma tecnología tiene sus peligros y sus responsables deberían tratarlos de forma seria y responsable para que no haya fallas de seguridad y se pueda utilizar de forma confiable.

 
 
Nota por Carlos Benitez