En una clínica privada en San José, se detectó que un empleado administrativo accedió sin autorización a la base de datos de pacientes. Este empleado descargó información confidencial, incluyendo nombres completos, números de identificación, diagnósticos médicos y tratamientos en curso. El propósito no autorizado fue compartir algunos datos en redes sociales, lo que generó una vulneración grave de la privacidad y confianza. La clínica recibió quejas de varios pacientes y fue investigada por la autoridad sanitaria. Se identificaron fallas en los controles de acceso y monitoreo de usuarios.

Puntos a analizar:

• ¿Cuáles fueron los riesgos de seguridad presentes?

• ¿Qué controles o medidas pudieron evitar esta situación?

• ¿Qué consecuencias legales y éticas enfrenta la clínica?

• ¿Qué acciones inmediatas y preventivas recomendarías para evitar repetición?

Un hospital público en una provincia de Costa Rica envió por error a un número equivocado de destinatarios informes médicos que contenían datos sensibles de varios pacientes. Este error ocurrió porque el personal administrativo usó una lista antigua de contactos y no verificó los correos antes del envío. Como resultado, personas ajenas a los pacientes tuvieron acceso a diagnósticos y tratamientos. La situación fue denunciada y puso en evidencia deficiencias en los procedimientos internos para el manejo seguro y confidencial de la información clínica.

Puntos a analizar:

• ¿Qué elementos vulnerables en la gestión de datos se evidencian?

• ¿Cómo podría mejorarse el proceso de envío para garantizar seguridad?

• ¿Qué protocolos y capacitaciones deben implementarse para minimizar errores humanos?

• ¿Qué responsabilidades directas e institucionales surgen con esta situación?

En un centro de salud ambulatorio, un dispositivo móvil que contenía registros de pacientes fue robado. El equipo no contaba con cifrado ni con protocolos de respaldo inmediatos, lo que aumentó el riesgo de exposición no controlada de los datos. La institución no tenía políticas claras para la gestión segura de dispositivos móviles con información clínica.

Puntos a analizar:

• ¿Qué vulnerabilidades se identifican en esta gestión de dispositivos y datos?

• ¿Qué medidas técnicas y organizativas podrían proteger esta información?

• ¿Cómo debe actuar la institución ante un incidente de esta naturaleza?

• ¿Qué formación es necesaria para el personal en manejo seguro de dispositivos?

En una clínica, la pantalla de una computadora fue configurada de tal forma que era visible para pacientes en la sala de espera, mostrando datos personales y diagnósticos de otros usuarios. Esto vulneró la privacidad y confidencialidad de los pacientes, generando incomodidad y quejas formales. Se detectaron deficiencias en la configuración de accesos y buenas prácticas en el trabajo diario.

Puntos a analizar:

• ¿Qué fallas en la seguridad física y digital se evidencian?

• ¿Qué buenas prácticas deben implementarse para proteger la privacidad en espacios compartidos?

• ¿Qué tipo de supervisión y auditorías deberían realizarse para evitar este tipo de exposiciones?

• ¿Qué formación se recomienda para el personal que manipula datos en áreas con tránsito público?

Un trabajador de un hospital autorizó a terceros el uso de sus credenciales para acceder al sistema de registros médicos, facilitando la realización de actividades sin supervisión. Esto permitió la manipulación no autorizada de información clínica, violando protocolos y normas internas. Se evidenció falta de capacitación en seguridad y supervisión del uso de accesos.

Puntos a analizar:

• ¿Qué riesgos implica el uso compartido de credenciales?

• ¿Qué controles pueden implementarse para evitar estos comportamientos?

• ¿Cuáles son las repercusiones administrativas y legales para los involucrados y la institución?

• ¿Qué estrategias de concientización y capacitación se deben promover?

Un hospital utilizaba un sistema de gestión clínica con versiones obsoletas, que contenía vulnerabilidades de seguridad conocidas. Un atacante externo logró acceder y extraer datos sensibles de pacientes. No se habían aplicado las actualizaciones ni parches necesarios, ni existía un plan formal de gestión de riesgos tecnológicos.

Puntos a analizar:

• ¿Qué riesgos tecnológicos se manifiestan en este caso?

• ¿Cómo debe organizarse la actualización y mantenimiento de sistemas?

• ¿Qué procesos de auditoría y gestión de riesgos tecnológicos son necesarios?

• ¿Qué políticas institucionales se deben desarrollar para mejorar la seguridad informática?