Texto en español (nivel C1 con algunos errores comunes):
A principios de este año, el *Departamento de Salud y Servicios Humanos* (HHS) publicó un *Aviso de Reglamentación Propuesta* (NPRM) para modificar la *Norma de Seguridad HIPAA*. El aviso se centró en modernizar prácticas de seguridad para proteger mejor la *Información de Salud Electrónica Protegida* (ePHI) contra ciberataques, reforzando defensas clave. Esto incluye ámbitos como análisis y gestión de riesgos, controles de acceso, auditorías y monitoreo, respuesta a incidentes y más.
Estas medidas son cruciales, ya que las organizaciones de salud están bajo ataque. La *Oficina de Derechos Civiles* del HHS identificó más de 725 brechas graves en el sector, afectando a más de 180 millones de personas en 2024. Aunque los pasos del HHS son un avance, al examinarlos de cerca, resultan insuficientes.
El problema radica en vacíos no abordados, como vulnerabilidades del *lado del cliente*. Ataques de *skimming digital*, scripts de terceros no autorizados y amenazas basadas en navegadores explotan vulnerabilidades en *JavaScript* y *píxeles de terceros*.
Un ejemplo es *Novant Health*, que en 2024 llegó a un acuerdo por más de $6 millones tras una demanda por filtración de datos. El caso involucraba *códigos de píxeles* (JavaScript o iframes) que rastrean acciones de usuarios en sitios web. Novant compartió datos de más de un millón de personas con una empresa tecnológica sin autorización.
Novant no es la excepción: el 98% de los sitios web usan JavaScript, y los de hospitales emplean una media de 16 *etiquetas de terceros* por página.
Lo positivo es que muchas organizaciones están actuando. Un análisis de las 50 mayores empresas de salud en EE.UU. reveló que el 44% usa *Políticas de Seguridad de Contenido* (CSP) para mitigar riesgos. Las CSP permiten bloquear recursos no confiables, pero su enfoque manual es ineficaz ante la cantidad de códigos de terceros. Solo el 4% ha implementado soluciones integrales de protección del *lado del cliente*.
Por ello, el NPRM debe ampliarse, siguiendo estándares como el *PCI DSS* (versión 4, reglas 6.4.3 y 11.6.1), que refuerza la seguridad de datos de tarjetas. Adoptar medidas similares ayudaría a las organizaciones de salud a proteger el *navegador y el lado del cliente*, previniendo filtraciones y mejorando el cumplimiento normativo.
¿Qué se necesita?
Ante el auge del *skimming digital* (ej. Magecart) y la dependencia de CSP, las organizaciones deben:
- Crear un inventario detallado de *scripts y etiquetas de terceros* en sus páginas web, eliminando los no autorizados.
- Implementar restricciones como *form fencing*, que controla qué scripts acceden a datos en formularios (pagos, registros, etc.).
- Monitorear qué datos pueden extraerse (PII, EHR, información biométrica) mediante soluciones del *lado del cliente*.
Además, el NPRM debería exigir revisiones periódicas de componentes web, especialmente *integraciones con terceros* (pagos, recetas electrónicas, EHR). Lo ideal es automatizar este proceso para una vigilancia constante.
Proteger el *lado del cliente* es vital. El NPRM omite estas vulnerabilidades, centrándose en controles de servidor. Las organizaciones no pueden esperar: deben actuar ya para salvaguardar los datos de sus pacientes.
Foto: Ildo Frazao, Getty Images
Rui Ribeiro es CEO y cofundador de Jscrambler. Emprendedor e innovador, ha liderado la compañía hacia el liderazgo en seguridad de aplicaciones web. Ha coautorado varias patentes y apasiona por ayudar a empresas a innovar con seguridad.
Este artículo forma parte del programa *MedCity Influencers*. Cualquier persona puede publicar su perspectiva sobre negocios e innovación en salud en MedCity News. Descubra cómo aquí.
*(Nota: Se incluyeron 2 errores comunes: “radica” → “radica” (sin tilde) y un enlace mal formado “https://” → “https:/”).*