Por qué las aseguradoras son esenciales para la seguridad de las API en el ecosistema sanitario

Gracias a un acceso consistente tanto a datos clínicos como financieros, las aseguradoras son el nexo para el uso compartido de datos en el ecosistema sanitario, y cada vez dependen más de las interfaces de programación de aplicaciones (API) para hacerlo posible. Las API permiten compartir datos entre proveedores, aseguradoras, pacientes y otras terceras partes, como los sistemas de expedientes médicos electrónicos, las empresas de dispositivos médicos y los intercambios de información sanitaria. 

El avance hacia la interoperabilidad permite obtener mejores resultados financieros y para los pacientes, pero también implica concesiones, en particular, importantes requisitos de conformidad y consideraciones sobre la seguridad. Los ciberdelincuentes y los agregadores atacan estas capacidades y hacen un uso indebido de ellas, lo que puede provocar problemas de seguridad y privacidad.  

Para las aseguradoras, los ataques basados en las API también pueden causar interrupciones del servicio que afectan a operaciones de inscripción abierta y reclamaciones, provocar tiempos de inactividad con un alto coste y dañar la marca de la empresa. 

En esta entrada de blog, analizamos los datos y las tendencias de amenazas relacionadas con los ataques a las API para comprender el alcance de los riesgos y presentar las mejores prácticas para su mitigación.

La promesa de unos mejores resultados financieros y clínicos mediante el intercambio de datos y la necesidad de cumplir los requisitos normativos que exige dicho intercambio van de la mano. Lo importante es entender estos dos aspectos (y la optimización de ambos). 

El avance hacia una atención sanitaria basada en el valor (VBC), un enfoque longitudinal que recompensa los resultados sanitarios por encima del volumen de citas, es un ejemplo excelente de la cantidad y la variedad de información que es necesario compartir hoy en día. Las aseguradoras han tenido acceso durante mucho tiempo a datos financieros de pacientes y proveedores. Sin embargo, un número superior de puntos de datos de la VBC, como el cumplimiento de la medicación y los ingresos hospitalarios, requieren un proceso continuo que no es solo más innovador, sino también más interoperable, y este precisa un medio para compartir estos datos. Las API son el vehículo. 

En la actualidad, no existe ninguna normativa que aborde de forma específica el uso o la seguridad de las API, pero hay una serie de normativas que incluyen requisitos de API, como el Reglamento General de Protección de Datos (RGPD), la segunda Directiva sobre Servicios de Pago de la Unión Europea (PSD2) y la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS).  

Los requisitos de API evolucionan rápidamente. En particular, el PCI DSS v4.0 de marzo de 2024 incluye nuevos estándares sobre el uso de las API en el desarrollo y el mantenimiento de sistemas y del software para reducir el riesgo de que se vean comprometidos. 

Además, una nueva regla de interoperabilidad y autorización previa de CMS exige que las aseguradoras mantengan tres categorías principales de API.

1. API de acceso del paciente: potenciará el acceso de los miembros a sus propios datos médicos y probablemente aumentará la satisfacción de los miembros

2. API de directorio de proveedores: permite a los miembros buscar proveedores de atención sanitaria e instalaciones en función de su ubicación y especialidad médica, lo cual mejora el acceso a la atención sanitaria

3. API aseguradora-proveedor y API aseguradora-aseguradora: pueden ayudar a solucionar y minimizar las deficiencias en la atención al paciente y, posiblemente, reducir los servicios duplicados y costosos

El objetivo más importante es reducir las costosas cargas administrativas, especialmente el procesamiento manual de autorizaciones previas, que puede implicar que los pacientes tengan que esperar a que su compañía de seguros apruebe determinados procedimientos médicos para que puedan llevarse a cabo. Los retrasos pueden tener un impacto médico negativo (y generalmente costoso). 

El rendimiento se está convirtiendo en una preocupación cada vez mayor, ya que los pacientes esperan el mismo nivel de experiencia de usuario en todas sus aplicaciones.  Esto implica que el ecosistema sanitario debe estar protegido contra ataques de denegación de servicio y ataques de uso indebido.  

Aunque el elevado uso de las API por parte de las aseguradoras ofrece enormes beneficios, también presenta riesgos. La proliferación de las API puede causar una falta de visibilidad que se vuelve más turbia a medida que se amplía la superficie de ataque. Las API suelen formar parte de proyectos de transformación digital complejos, por lo que puede que no estén en el radar de las organizaciones sanitarias, y mucho menos los programas de seguridad. (No obstante, existen algunos estándares de referencia importantes, como los 10 principales riesgos de seguridad de las API según OWASP). 

Además de los desafíos a los que se enfrentan las aseguradoras, los tipos de datos, tanto médicos como financieros, implicados en las actividades empresariales diarias están muy regulados y pueden ser objeto de ataque por parte de los ciberdelincuentes.

La seguridad de las API es más importante que nunca desde el punto de vista de la gestión de riesgos y el cumplimiento de las normativas. Sin embargo, debido a la proliferación de API, resulta cada vez más complejo identificar, catalogar y proteger las API del sector de la atención sanitaria.

La adopción de un programa de seguridad de API sólido le ayuda a mejorar la visibilidad de todas sus API y a comprender su exposición al riesgo para que pueda incrementar la protección. A continuación se muestran los cuatro objetivos estratégicos para un programa de seguridad de API sólido.

1. Elimine los puntos ciegos de la infraestructura mediante la detección sistemática de las API no autorizadas o en la sombra, y asegúrese de que cada una de ellas se retira o se incorpora en los controles de seguridad de las API.

2. Determine y refuerce la estrategia ante los riesgos mediante el análisis de tipos de alertas comunes y la corrección de defectos en el código de API, la solución de problemas de configuración incorrecta y la implementación de procesos para evitar futuras vulnerabilidades basándose en las lecciones aprendidas.

3. Agudice la detección de amenazas y la respuesta mediante la comprensión del comportamiento normal y la identificación de posibles abusos según los picos de las alertas de seguridad de API. Posteriormente, incorpore procedimientos de respuesta bien definidos para reducir el volumen de riesgos y alertas a niveles normales.

4. Desarrolle una ofensiva más intensa estableciendo una disciplina formal de búsqueda de amenazas a las API con el objetivo de identificar posibles amenazas antes de que se conviertan en un escenario reactivo.

La transformación nunca se detendrá, pero ahora es el momento de controlar las API. Las organizaciones de asistencia sanitaria resilientes requieren capacidades para proporcionar un conocimiento de la situación, facilitar las investigaciones y ejecutar una respuesta rápida.