Una fuga de datos compromete cerca de dos millones de fragmentos de historia clínica

Hoy sucede más vida en la dimensión digital que en el terreno offline. Esto se traduce en millones de registros diarios de información sensible (sobre lo que somos, lo que sentimos o pensamos y lo que callamos) que escapan de nuestro control. A veces, también del control de quien debería protegerlos. A este respecto, el último episodio se ha producido en el seno de la española Eholo Health, un software que centraliza la gestión de consultas psicológicas (agenda, facturación e historiales clínicos) y que ha sido víctima de una filtración de datos de gran alcance.

La migración hacia el ecosistema online ha traído eficiencia, acceso e interoperabilidad al sistema sanitario, pero también ha alterado una de sus bases más delicadas: la confidencialidad. La misma ya no descansa únicamente en el marco del secreto profesional, sino en la solidez de las infraestructuras que almacenan y conectan los expedientes.

La escala del reciente incidente sigue sin estar cerrada públicamente de forma definitiva, pero todo apunta a que no se trata de una simple fuga de datos administrativos. Las distintas cifras publicadas sitúan el alcance en torno a 600.000 registros identificativos y más de 1,1 millones de entradas clínicas, los cuales vendrían acompañados de indicios de descarga de la información.

Algunos escenarios apuntan que el pirata informático responsable podría haberse hecho con el contenido y las notas de sesiones terapéuticas de hasta dos millones de pacientes. Ya se tiene constancia de algunas denuncias por ciertas inconsistencias en el relato y por no tener aún detalle real sobre qué información concreta se había extraído de cada paciente. En esta línea, Eholo dice no poder concretar la documentación clínica que constaba en su expediente.

La contradicción más relevante no está solo en la existencia de la brecha, sino en su calificación. En la documentación presentada por la compañía de software ante la Agencia Española de Protección de Datos (AEPD), la quiebra de seguridad aparece tratada como de impacto limitado o bajo riesgo. Sin embargo, tanto la propia Agencia como las clínicas implicadas afirman que el umbral de gravedad sube automáticamente cuando se tratan de datos de salud, imperando la obligación de comunicar a los afectados.

En este caso, el problema no ha venido por la ausencia de pronunciamiento, sino por la diferencia entre el mensaje corporativo y la realidad operativa. Lejos de ser anecdótico, se trata de una práctica habitual en fallos de ciberseguridad y vuelve a avivar el debate sobre si la capacidad real de proteger los datos se queda peligrosamente atrás de los avances tecnológicos.

No hay riesgo bajo si atañe a la salud

Y es que toda crisis arranca con un mensaje tranquilizador. «No hay contraseñas comprometidas» es el equivalente digital a decir que el incendio está controlado mientras aún huele a humo. De esta forma, durante una primera fase, se afirmaba que las credenciales no habían sido expuestas, que no había impacto financiero y que las notas clínicas robadas eran limitadas.

La evolución posterior, sin embargo, toma otra dirección. La documentación técnica y el propio formulario de notificación de la AEDP dibujan un escenario distinto: acceso a datos identificativos completos, inclusión de contenido médico sensible y notas terapéuticas, presencia de datos relacionados con medios de pago y, lo más alarmante, una afirmación clave: acceso total a la documentación clínica de los pacientes.

En base a las declaraciones recogidas en prensa, la compañía –actualmente usada por más de 10.000 profesionales y recomendada por los colegios oficiales de psicología– sostuvo públicamente que la filtración habría afectado únicamente a una fracción minoritaria de sus usuarios. No obstante, nuevos indicios apuntan a que afecta al total de sus usuarios. Hay que tener en cuenta que el problema en esta clase de episodios no es sólo cuántos, sino qué tipo de información y en qué contexto se ha visto comprometida.

El riesgo para los pacientes afectados no se limita al spam o al fraude común. Si entre la información expuesta hay registros terapéuticos y datos de salud mental, las consecuencias potenciales incluyen pérdida de confidencialidad sobre información íntima, daño reputacional, chantaje, intentos de extorsión y suplantaciones especialmente creíbles, construidas con una precisión que el fraude tradicional no alcanza. También es posible el uso malicioso de esa información en procesos laborales, conflictos familiares y procedimientos judiciales.

No se roba un DNI o un correo electrónico. Se accede a fragmentos de vida: diagnósticos, dudas, relaciones, conflictos... Información que, fuera de contexto, puede convertirse en herramienta de presión en entornos laborales, familiares e incluso judiciales. El daño, por tanto, no es solo económico; es también psicológico y estructural. Afecta a la percepción de seguridad del paciente y erosiona un elemento esencial del sistema de salud: la confianza. La relación médico-paciente deja de operar en las mismas condiciones cuando uno empieza a preguntarse qué puede trascender de lo que cuenta en consulta.

A ello se suma un elemento especialmente sensible: la pérdida de control sobre la propia historia clínica. El afectado no sabe con certeza qué parte de su información ha sido extraída ni cómo puede ser utilizada en el futuro, lo que amplifica la incertidumbre y dificulta la gestión del riesgo.

Tras el incidente, la plataforma endureció el acceso a la información clínica: el doble factor de autenticación pasó a ser obligatorio y se añadió una capa adicional de protección para las historias clínicas. Aunque estas medidas no prueban por sí solas una negligencia previa, sí evidencian que la protección del entorno clínico tenía margen para ser reforzada. Mientras tanto, el ciberdelincuente exigía un rescate de 300.000 dólares, del que no consta pago.