El SAS desaconseja a su personal usar el Whatsapp para evitar posibles fugas de datos
El Servicio Andaluz de Salud (SAS) ha emitido este lunes 31 de marzo una instrucción en la que «anima» a los profesionales sanitarios a no usar la aplicación móvil Whatsapp para datos de pacientes por los «riesgos» que ello conlleva. Estas recomendaciones se han realizado después de que, en julio de 2024, se detectara una fuga de datos en Granada , un ciberataque que dejó al descubierto datos personales de aproximadamente 50.000 profesionales de la sanidad que trabajan en la provincia. El organismo dependiente de la Consejería de Salud de la Junta de Andalucía recuerda ahora a los profesionales que tienen a su disposición «todas las herramientas que necesitan para el desempeño de sus funciones», por lo que no sería necesario el uso de la citada aplicación móvil. «Como aplicación que permite la comunicación directa multidispositivo y multiformato entre empleados, se dispone de la aplicación ZOOM . La misma se provee mediante la adjudicación de un pliego sujeto a la Ley de Contratos del Sector Público que, entre otros aspectos, regula la posición de encargado del tratamiento del adjudicatario, así como las medidas de seguridad exigibles a la solución informática conforme al esquema nacional de seguridad«, continúa el texto del SAS. La administración sanitaria recuerda además a la plantilla que « existen otras herramientas de comunicación de propósito específico como el Webmail para el correo electrónico; Ficheros Junta como repositorio de archivos y Consigna para la compartición de archivos pesados«, entre otros. «El hecho de hacer uso de aplicaciones no corporativas para el manejo de datos personales supone en la mayoría de los casos una comunicación de datos al proveedor del servicio, pudiendo además incurrir en comunicaciones de datos a terceros no autorizados que sean invitados a formar parte de grupos de chat o a acceder a los repositorios«, alerta la Junta. Por ello, podrían darse «distintos tipos de responsabilidad penal, disciplinaria y administrativa por protección de datos, que en algunos casos pueden darse, incluso, de manera conjunta». Además, el SAS reconoce que «un volumen muy importante de profesionales no dispone de teléfono móvil corporativo , lo que añade nuevos riesgos para los datos personales que puedan procesarse en sus terminales personales mediante la aplicación Whatsapp, al no estar sometidos a los controles y medidas de seguridad que proporciona la organización«. Entre otros efectos, el ciberataque de Granada provocó que las páginas web de los tres principales hospitales de la provincia -Virgen de las Nieves y San Cecilio, también conocido como el del PTS, en la capital, y Santa Ana, en Motril- quedaran inactivas. Cualquiera que entrara comprobaba con facilidad que se encontraban «en mantenimiento». Los datos que vieron la luz por culpa del ciberataque fueron, entre otros, números del DNI, teléfonos, correos corporativos o claves tanto de los sanitarios como del resto del personal, incluido el que trabaja en el Distrito Sanitario Granada-Metropolitano, las oficinas de gestión que se ubican en la capital. El Servicio Andaluz de Salud reconoció la anomalía, de la que aseguró que tuvo conocimiento cuando «un atacante mandó un correo al webmaster de la web del Hospital Universitario Clínico San Cecilio y a otros destinatarios, indicando que había detectado una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico«.
El Servicio Andaluz de Salud (SAS) ha emitido este lunes 31 de marzo una instrucción en la que «anima» a los profesionales sanitarios a no usar la aplicación móvil Whatsapp para datos de pacientes por los «riesgos» que ello conlleva. Estas recomendaciones se han realizado después de que, en julio de 2024, se detectara una fuga de datos en Granada , un ciberataque que dejó al descubierto datos personales de aproximadamente 50.000 profesionales de la sanidad que trabajan en la provincia. El organismo dependiente de la Consejería de Salud de la Junta de Andalucía recuerda ahora a los profesionales que tienen a su disposición «todas las herramientas que necesitan para el desempeño de sus funciones», por lo que no sería necesario el uso de la citada aplicación móvil. «Como aplicación que permite la comunicación directa multidispositivo y multiformato entre empleados, se dispone de la aplicación ZOOM . La misma se provee mediante la adjudicación de un pliego sujeto a la Ley de Contratos del Sector Público que, entre otros aspectos, regula la posición de encargado del tratamiento del adjudicatario, así como las medidas de seguridad exigibles a la solución informática conforme al esquema nacional de seguridad«, continúa el texto del SAS. La administración sanitaria recuerda además a la plantilla que « existen otras herramientas de comunicación de propósito específico como el Webmail para el correo electrónico; Ficheros Junta como repositorio de archivos y Consigna para la compartición de archivos pesados«, entre otros. «El hecho de hacer uso de aplicaciones no corporativas para el manejo de datos personales supone en la mayoría de los casos una comunicación de datos al proveedor del servicio, pudiendo además incurrir en comunicaciones de datos a terceros no autorizados que sean invitados a formar parte de grupos de chat o a acceder a los repositorios«, alerta la Junta. Por ello, podrían darse «distintos tipos de responsabilidad penal, disciplinaria y administrativa por protección de datos, que en algunos casos pueden darse, incluso, de manera conjunta». Además, el SAS reconoce que «un volumen muy importante de profesionales no dispone de teléfono móvil corporativo , lo que añade nuevos riesgos para los datos personales que puedan procesarse en sus terminales personales mediante la aplicación Whatsapp, al no estar sometidos a los controles y medidas de seguridad que proporciona la organización«. Entre otros efectos, el ciberataque de Granada provocó que las páginas web de los tres principales hospitales de la provincia -Virgen de las Nieves y San Cecilio, también conocido como el del PTS, en la capital, y Santa Ana, en Motril- quedaran inactivas. Cualquiera que entrara comprobaba con facilidad que se encontraban «en mantenimiento». Los datos que vieron la luz por culpa del ciberataque fueron, entre otros, números del DNI, teléfonos, correos corporativos o claves tanto de los sanitarios como del resto del personal, incluido el que trabaja en el Distrito Sanitario Granada-Metropolitano, las oficinas de gestión que se ubican en la capital. El Servicio Andaluz de Salud reconoció la anomalía, de la que aseguró que tuvo conocimiento cuando «un atacante mandó un correo al webmaster de la web del Hospital Universitario Clínico San Cecilio y a otros destinatarios, indicando que había detectado una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico«.
