La identificación por vídeo (Videoident) está actualmente paralizada en las compañías de seguros de enfermedad. El trasfondo de todo esto es un ataque realizado con éxito por el Chaos Computer Club (CCC), en el que fue posible acceder al expediente electrónico de un paciente con documentos de identidad manipulados. Por temor al uso indebido de los datos sensibles de los pacientes a los que se podría acceder de esta forma, las cajas de enfermedad han bloqueado inicialmente a todos los proveedores de Videoident, independientemente de las vulnerabilidades de seguridad conocidas.
¿Siguen siendo seguros los procedimientos de Videoident en términos de seguridad de los datos?
¿Dónde se utiliza Videoident?
Hasta ahora, los procedimientos de videovigilancia se han utilizado en muchos ámbitos en los que es posible el acceso en línea a datos sensibles. En el registro de una cuenta bancaria, las comprobaciones de crédito, los contratos de seguros, las comprobaciones para servicios de coche compartido y en el sector sanitario, el procedimiento de videovigilancia es un componente importante de la seguridad de los datos digitales.
Desde 2021, el acceso al llamado expediente ePatient y, entretanto, también a la receta electrónica es posible a través del procedimiento Videoident.
¿Cómo se puede engañar a Videoident?
En Informe del CCC los investigadores de seguridad explican cómo "con un software de código abierto y un poco de pintura de acuarela roja, consiguieron engañar a seis soluciones de Videoident mediante la 'recombinación videotécnica de varios documentos fuente' y hacer creer a los empleados o al software que eran otra persona". Los ataques pasaron desapercibidos.
De este modo, el CCC tuvo acceso a los datos sanitarios del examinado. Esto fue posible con pocos conocimientos previos, en poco tiempo y con poco esfuerzo. Por otra parte, el riesgo y la sensibilidad de estos datos son muy elevados.
Ni siquiera el uso de una IA en el procedimiento remedia esta importante laguna de seguridad. Los investigadores de seguridad declararon: "La suposición de que los modernos procedimientos de videovigilancia pueden solucionar los puntos débiles conocidos 'mediante el uso de inteligencia artificial' ha resultado ser falsa en la práctica".
¿Por qué detener todos los procedimientos Videoident?
Basándose en las conclusiones del CCC, Gematik prohibió el uso de cualquier procedimiento Videoident por parte de las compañías de seguros médicos por motivos de seguridad, incluso antes de que se publicara el informe.
La asociación de la industria informática Bitkom criticó esta decisión radical. Las personas que ahora tienen que identificarse ante la compañía de seguros sanitarios se verían obligadas a optar por vías analógicas. Esto crearía un "obstáculo innecesario en el camino hacia la asistencia sanitaria digital". La identificación instantánea mediante el procedimiento Videoident es "esencial para que los servicios digitales estén disponibles de forma rápida, segura y sencilla". Por tanto, las aseguradoras sanitarias deben volver a aprobarla inmediatamente.
La CCC, por su parte, exige "que esta tecnología insegura deje de utilizarse donde exista un alto potencial de daños".
Declaración del Ministerio de Sanidad y del Ministerio del Interior
El Ministerio Federal de Sanidad, al igual que Gematik, estaba a favor del bloqueo.
El Ministerio Federal del Interior describió el procedimiento Videoident como "una tecnología puente que se utiliza actualmente para la identificación a distancia debido a su penetración en el mercado y a su disponibilidad". Se examinará detenidamente si puede seguir utilizándose y en qué medida.
¿Necesita ayuda en materia de seguridad o protección de datos? Nuestro equipo de expertos estará encantado de ayudarle.
Español 
Deutsch 
English 
Français 
Polski