Hackers revelan fallos de seguridad en la historia clínica digital alemana

Expertos demuestran accesos no autorizados a datos médicos sensibles. La ePA (Historia Clínica Electrónica) presenta vulnerabilidades pese a las mejoras implementadas. El operador Gematik asegura haber corregido las brechas.

«Seguridad primero, pero con grietas»

Investigadores de seguridad Martin Tschirsich y Bianca Kastl identificaron fallos que permitían acceder a historias médicas individuales mediante certificados sustitutos de tarjetas sanitarias. El sistema no es «inseguro», pero persisten riesgos, según el informe publicado por Der Spiegel.

Respuesta inmediata

Gematik, operador de la ePA, desactivó temporalmente los certificados sustitutos y protegió a los afectados. El exministro de Salud Karl Lauterbach (SPD) afirmó: «Estos escenarios eran esperables en la fase inicial».

Entre la voluntariedad y la obligatoriedad

La ePA es voluntaria para pacientes desde abril de 2025, pero será obligatoria para profesionales sanitarios a partir de octubre. El proyecto ya había sido retrasado en 2024 por alertas del Chaos Computer Club (CCC).

Un sistema bajo presión

Alemania impulsa la digitalización sanitaria con la ePA, pero enfrenta desafíos técnicos recurrentes. En 2023, el CCC advirtió sobre riesgos de acceso masivo, lo que llevó a reforzar el sistema antes de su lanzamiento oficial.

Parcheado, pero no infalible

Las medidas correctivas reducen el riesgo, pero expertos insisten en que la protección de datos médicos requiere auditorías continuas. La implementación completa se evaluará tras la obligatoriedad en octubre.