La identificación por vídeo (Videoident) está actualmente paralizada en las compañías de seguros de enfermedad. El trasfondo de todo esto es un ataque realizado con éxito por el Chaos Computer Club (CCC), en el que fue posible acceder al expediente electrónico de un paciente con documentos de identidad manipulados. Por temor al uso indebido de los datos sensibles de los pacientes a los que se podría acceder de esta forma, las cajas de enfermedad han bloqueado inicialmente a todos los proveedores de Videoident, independientemente de las vulnerabilidades de seguridad conocidas.
¿Siguen siendo seguros los procedimientos de Videoident en términos de seguridad de los datos?
¿Dónde se utiliza Videoident?
Hasta ahora, los procedimientos de videovigilancia se han utilizado en muchos ámbitos en los que es posible el acceso en línea a datos sensibles. En el registro de una cuenta bancaria, las comprobaciones de crédito, los contratos de seguros, las comprobaciones para servicios de coche compartido y en el sector sanitario, el procedimiento de videovigilancia es un componente importante de la seguridad de los datos digitales.
Desde 2021, el acceso al llamado expediente ePatient y, entretanto, también a la receta electrónica es posible a través del procedimiento Videoident.
¿Cómo se puede engañar a Videoident?
En Informe del CCC los investigadores de seguridad explican cómo "con un software de código abierto y un poco de pintura de acuarela roja, consiguieron engañar a seis soluciones de Videoident mediante la 'recombinación videotécnica de varios documentos fuente' y hacer creer a los empleados o al software que eran otra persona". Los ataques pasaron desapercibidos.
De este modo, el CCC tuvo acceso a los datos sanitarios del examinado. Esto fue posible con pocos conocimientos previos, en poco tiempo y con poco esfuerzo. Por otra parte, el riesgo y la sensibilidad de estos datos son muy elevados.
Ni siquiera el uso de una IA en el proceso elimina esta importante brecha de seguridad. Los investigadores de seguridad afirmaron: "La suposición de que los procedimientos modernos de identificación por vídeo pueden superar las debilidades conocidas 'mediante el uso de inteligencia artificialha resultado ser errónea en la práctica.
¿Por qué detener todos los procedimientos Videoident?
Basándose en las conclusiones del CCC, Gematik prohibió el uso de cualquier procedimiento Videoident por parte de las compañías de seguros médicos por motivos de seguridad, incluso antes de que se publicara el informe.
La asociación de la industria informática Bitkom criticó esta decisión general. Las personas que ahora tienen que identificarse ante el seguro de enfermedad se ven obligadas a elegir canales analógicos. Se trata de un "obstáculo innecesario en el camino hacia una sanidad digital establecidos". La identificación instantánea mediante el procedimiento Videoident es "esencial para que los servicios digitales estén disponibles de forma rápida, segura y sencilla". Por ello, las compañías de seguros médicos deben volver a autorizarlo inmediatamente.
La CCC, por su parte, exige "que esta tecnología insegura deje de utilizarse donde exista un alto potencial de daños".
Declaración del Ministerio de Sanidad y del Ministerio del Interior
El Ministerio Federal de Sanidad, al igual que Gematik, estaba a favor del bloqueo.
El Ministerio Federal del Interior describió el procedimiento Videoident como "una tecnología puente que se utiliza actualmente para la identificación a distancia debido a su penetración en el mercado y a su disponibilidad". Se examinará detenidamente si puede seguir utilizándose y en qué medida.
Necesita apoyo en el ámbito de ¿Seguridad o protección de datos? Nuestro equipo de expertos estará encantado de ayudarle.
Español 
Deutsch 
English 
Français 
Polski