UNIVERSIDAD CATÓLICA DE CUENCA

FACULTAD DE CIENCIAS MÉDICAS

Privacidad y Seguridad de software libre para historias clínicas y datos médicos

Autor

Guayaquil, 20 de julio de 2023

1
Resumen

Introducción Las iniciativas de EHR se desarrollan con una perspectiva positiva y

optimista, a menudo hay poca preocupación por las implicaciones de privacidad de
las aplicaciones. Objetivo: Describir cuáles son los puntos clave para la privacidad y
seguridad del software libre para historias clínicas y datos médicos. Metodología:
Revisión bibliográfica de tipo transversal, retrospectivo, alcance descriptivo, no
experimental y con enfoque cualitativo. Resultados: Se incluyeron 11 artículos que
abarcaban los temas:La privacidad y la seguridad de los registros de salud
electrónicos, Características de seguridad y privacidad de los sistemas Registros de
Salud Electrónico (EHR), Incidentes de seguridad de la tecnología de la información
en entornos de atención médica, La destreza creciente de los atacantes, Leyes y
reglamentos de privacidad para la salud, Privacidad de ubicación, Registro del
usuario y seguridad de inicio de sesión, Transmisión de ID de dispositivo y correo
electrónico, Blockchain para compartir registros médicos electrónicos, para su
posterior análisis. Conclusión: La capacidad de proteger la privacidad de la
información y la alta confianza organizacional ha sido durante mucho tiempo un
punto neurálgico en el cuidado de la salud, así que los puntos fuertes y los
beneficios de la tecnología de la información superan con creces sus peligros y
amenazas.

Palabras clave

Registros médicos electrónicos, Privacidad, Seguridad, Software libre, Inteligencia

artificial.

2
 Introducción

Los registros de salud electrónicos (EHR) brindan servicios convenientes de

almacenamiento de registros médicos, estos hacen que los registros médicos de
pacientes en papel tradicionales sean accesibles electrónicamente en la web. El
sistema está diseñado para dar a los pacientes el control sobre la generación,
gestión y uso compartido de registros médicos electrónicos con familiares, amigos,
proveedores de atención médica y otros consumidores de datos autorizados. Sin
embargo, estos están completamente controlados por el hospital y no por el
paciente, lo que complica la búsqueda de asesoramiento médico en diferentes
hospitales. Los pacientes necesitan desesperadamente concentrarse en los detalles
de su atención médica y recuperar el control de sus datos médicos (1).

Además, si bien las perspectivas para las iniciativas de EHR son positivas,
generalmente hay poca preocupación sobre las implicaciones de privacidad de estas
aplicaciones. Las soluciones existentes no consideran cuidadosamente la privacidad
y no tienen claro cómo resolver los problemas inherentes a los sistemas de
monitoreo de la salud. Los EHR se utilizan para recopilar, procesar y compartir datos
confidenciales (es decir, datos de salud personal), por lo que la privacidad y la
seguridad son primordiales. En los últimos años, se han centrado en los aspectos de
seguridad de la información de los registros médicos electrónicos, es decir, en los
conceptos de confidencialidad, integridad y disponibilidad, que generalmente se
abordan a través de mecanismos de seguridad como el cifrado, la autenticación, el
almacenamiento seguro y el control de acceso (2).

El rápido desarrollo de la inteligencia artificial (IA) y el aprendizaje automático (ML)

en el campo del análisis de datos biomédicos recientemente ha arrojado resultados
alentadores, lo que demuestra que los sistemas de IA pueden ayudar a los médicos
en varios escenarios, como la detección temprana del cáncer en imágenes médicas.
Dichos sistemas han madurado más allá de la etapa de prueba de concepto y se
espera que se utilicen ampliamente en los próximos años, como lo demuestra el
creciente número de solicitudes de patentes y aprobaciones regulatorias (3).

3
 Objetivos

Objetivo general

Describir cuáles son los puntos clave para la privacidad y seguridad del software
libre para historias clínicas y datos médicos.

Objetivos específicos

 Indicar que es la privacidad y la seguridad de los registros de salud

electrónicos.
 Enumerar cuáles son las características de seguridad y privacidad de los
sistemas Registros de Salud Electrónico (EHR).
 Detallar cuáles son las dificultades de seguridad de la tecnología de la
información en entornos de atención médica.

4
 Marco Teórico

La privacidad y la seguridad de los registros de salud electrónicos

Los desafíos de privacidad y seguridad de del Internet de las Cosas (IoT) surgen de
las características específicas de las redes de IoT, que las hacen únicas a su
manera. Estas características incluyen heterogeneidad, entornos no controlados,
recursos limitados y una mayor necesidad de escalabilidad. Hoy en día, incluso las
plataformas de procesadores más pequeñas tienen muy buenos motores
criptográficos y suficiente memoria de programa para implementar funciones de
seguridad relevantes (4).

Los requisitos de seguridad para los sistemas IoT, de acuerdo con sus
características únicas, se agrupan en las siguientes configuraciones: gestión de
identidad, ciberseguridad, resiliencia y confianza, y finalmente privacidad.
Considera específicamente las múltiples arquitecturas de Internet de las Cosas
ampliamente propuestas por la comunidad investigadora y analiza si las diversas
arquitecturas tienden a adherirse a las medidas de seguridad requeridas. El análisis
crítico muestra que, si bien ninguna arquitectura única puede cubrir todas las
necesidades de seguridad, se consideran cuidadosamente una variedad de
necesidades de seguridad (4).

Los más comunes son los requisitos de confianza y privacidad. Desde que existen
las computadoras, ha habido un modelo de seguridad perfectamente aceptable para
la tecnología de la información basado en capacidades de seguridad óptimas (5):

 Privacidad: Se refiere al derecho moral de un individuo a decidir cuándo y

cómo se accede y se comparte su información privada. La seguridad de EHR
implica proteger los datos y asegurar los recursos, incluida la forma en que
los datos se almacenan y transmiten a través de los sistemas informáticos. La
privacidad es un aspecto de la seguridad que implica hacer cumplir las reglas
sobre cómo se almacena y comparte la información privada con terceros.
 Seguridad: La seguridad de los datos se refiere al nivel en el que solo el
personal autorizado puede acceder a la información confidencial del paciente.
Sin embargo, las violaciones de datos pueden ocurrir cuando los datos se
comparten con personas no autorizadas. Esto debe tenerse en cuenta cuando
la privacidad y la seguridad pueden verse comprometidas de varias maneras,

5
 incluso a través de la inevitable identificación sistémica de la infraestructura y
la tecnología médica electrónica. Además, los gobiernos, los profesionales de
la salud, las compañías farmacéuticas y los laboratorios pueden tener
razones legítimas para acceder a los registros de salud de los pacientes y, en
el proceso, violar la seguridad y la privacidad de los datos a sabiendas o sin
saberlo.
 Confidencialidad: Implica proteger los datos del acceso no autorizado
durante los procesos de almacenamiento y transferencia de datos y mientras
los pacientes reciben atención. La confidencialidad se puede lograr mediante
el uso de contraseñas para cifrar datos y controlar el acceso al sistema.
Además, La confidencialidad es un problema de privacidad que ayuda a
garantizar que la información del paciente esté protegida contra la edición o
eliminación no autorizada. Por lo tanto, la disponibilidad de datos es otro
término comúnmente utilizado en la seguridad y privacidad de los datos de
EHR. Implica la capacidad del personal autorizado para acceder a un sistema
y operar completamente ese sistema, incluido el acceso a toda la información
necesaria en cualquier momento.

Características de seguridad y privacidad de los sistemas Registros de Salud

Electrónico (EHR)

Los tres temas de seguridad, a saber, física, técnica y administrativa, se han

aplicado en el análisis de muchas encuestas. Estos temas incluyen una variedad de
políticas de seguridad utilizadas por las autoridades de salud para brindar mayor
seguridad a la información de salud protegida en los registros médicos electrónicos
(4):

 Salvaguarda administrativa: Esta es la primera medida de seguridad, que

incluye técnicas relevantes como la realización de auditorías, la contratación
de oficiales de seguridad de la información y el desarrollo de planes de
contingencia. Las medidas de seguridad para este tema se centran en tener
políticas y procedimientos de seguridad compatibles.
 Salvaguardas físicas: Se concentra en proteger físicamente la información
de salud para que personas no autorizadas no puedan acceder a su software
o hardware ni utilizarlo de manera indebida. La violación de las salvaguardas

6
 físicas es una de las principales causas de las infracciones de seguridad,
ocupando el segundo lugar en general. Ejemplos de técnicas bajo protección
física incluyen la asignación de roles de seguridad.
 Salvaguardas técnicas Protegen todo el sistema de información en la red.
Este problema es muy importante para garantizar la seguridad de una
organización, ya que la mayoría de las infracciones de seguridad ocurren
electrónicamente mediante el uso de computadoras y otros dispositivos
electrónicos transferibles. Este tema cubre técnicas de seguridad como el uso
de firewalls y cifrado, detección de virus y medidas utilizadas en la
autenticación de información. Los cortafuegos y las tecnologías de cifrado son
las tecnologías de seguridad más utilizadas. Otras tecnologías de seguridad
notables también utilizadas incluyen software antivirus, oficiales de seguridad
de la información y computación en la nube, aunque su implementación
depende del presupuesto.

Dificultades de seguridad de la tecnología de la información en entornos de

atención médica

El crecimiento significativo en la adopción de registros de salud electrónicos en los

últimos años no ha sido protegido por medidas de seguridad cibernética, lo que deja
a la industria de la salud gravemente comprometida por las amenazas cibernéticas.
Teniendo en cuenta que hay otros incidentes que pasan desapercibidos o mal
evaluados, y la posibilidad de que las organizaciones no informen los incidentes de
seguridad, puede haber más violaciones de seguridad relacionadas con TI que
casos informados. Documentos revelan brechas de seguridad en el cuidado de la
salud (4).

Estos pueden ser muy costosos; por ejemplo, Absolute Software Corporation informó
que los casos de violación de datos médicos han resultado en perdidas hospitalarios
que oscilan entre $250 000 y $2,5 millones. Esto representa solo una pequeña
fracción de la carga financiera total de un accidente. Las preocupaciones de
seguridad y privacidad, así como las preocupaciones sobre las responsabilidades
asociadas, impiden que los proveedores de atención médica utilicen la información y
la tecnología para mejorar sus servicios. Por lo tanto, es imperativo que las
organizaciones mejoren las prácticas de privacidad y seguridad de HIT en entornos

7
de atención médica como una medida para garantizar una prestación de atención
médica efectiva. (4).

La destreza creciente de los atacantes

El riesgo de acceso de terceros a la información se ha vuelto cada vez más complejo

y peligroso. Los ciberataques van en aumento, son sigilosos y casi imposibles de
detectar. Las tácticas y las intenciones de los atacantes también están cambiando, y
sus intenciones pasan de la fama y la fortuna a la ganancia financiera. Esto significa
que los atacantes están más interesados en robar identidades e información
bancaria y crediticia de los registros médicos electrónicos y pueden explotar esta
información personal para obtener ganancias financieras. Otro patrón inquietante de
ataques cibernéticos que involucran registros médicos electrónicos es que los
piratas informáticos utilizan técnicas evasivas que dificultan la detección de
violaciones de seguridad. Usando estas técnicas, los piratas informáticos pueden
llevar a cabo un ataque total y causar el máximo daño. Además, la expansión de los
servicios basados en la nube de los proveedores también significa que los
ciberataques pueden aumentar (5).

Leyes y reglamentos de privacidad para la salud

Las políticas de privacidad se han legalizado formalmente en varios países para

otorgar control y proteger la privacidad de los registros de los pacientes. La Ley de
Portabilidad y Responsabilidad del Seguro Médico (HIPAA) protege la información
relacionada con los datos de salud del usuario que una agencia almacena o
transmite por cualquier medio, ya sea electrónico, en papel u oral. Las reglas de
privacidad también se conocen como información de salud protegida (PHI). En los
últimos años, la Directiva de protección de datos de la UE 95/46/EC, que se aplica a
la privacidad de los datos de EHR, fue reemplazada por el Reglamento general de
protección de datos (GDRP) (6).

El GDRP tiene como objetivo garantizar reglas de protección de datos coherentes en

Europa, proponer mejoras y rediseños basados en los datos privados de las
personas y mejorar los procesos de flujo de datos. Las leyes anteriores se crearon
para proporcionar requisitos de seguridad y privacidad para cualquier sistema. La
Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) se enfoca más en
la información médica personal (PHI) en los sistemas de atención médica. En lo que

8
respecta a GDPR y LGPD, están dirigidos a sistemas en general y no específicos de
ningún sistema. Por lo tanto, podemos comprender los principales conceptos
mencionados y requeridos por la legislación y políticas existentes sobre seguridad y
protección de la privacidad del usuario en la Figura 1 del Anexo A. (6).

Privacidad de ubicación

Solicitar y transmitir información de ubicación a terceros viola las reglas que no solo
se consideran personales sino también sensibles según ciertas normas de
protección de datos. Más precisamente, los hallazgos sobre la información de
ubicación del usuario transmitida muestran que el 35 por ciento de las aplicaciones
transmiten la información de ubicación geográfica o la dirección postal de los
usuarios a sus proveedores a terceros. Además, las aplicaciones evaluadas envían
la ubicación de sus usuarios a 5 dominios de terceros diferentes, mientras que otras
aplicaciones lo hacen a través de HTTP (7).

Además, nuestro análisis reveló que las aplicaciones que transmiten la ubicación de
un usuario solicitan esa ubicación a través de una solicitud GET. Una de las
aplicaciones en particular, aunque no proporcionaba ningún servicio de
geolocalización especial al usuario, tenía dos servicios de anuncios de terceros que
solicitaban la geolocalización del usuario a una velocidad de casi cada 3 segundos
durante unos 12 minutos. Además de agotar la batería, la aplicación transmite la
ubicación del usuario a un dominio de terceros a través de una conexión HTTP a
través de solicitudes GET (7).

Registro del usuario y seguridad de inicio de sesión

Estas aplicaciones requieren la creación de un perfil y, en muchos casos, una

contraseña. Nos enfocamos en verificar los registros y la seguridad de inicio de
sesión para cada aplicación. Si la aplicación transmite sus datos de inicio de sesión
de usuario a través de HTTP y si la aplicación solicita datos de inicio de sesión de
usuario a través de solicitudes GET. El análisis reveló que el 55 por ciento de las
aplicaciones solicitan y transmiten las contraseñas de los usuarios, y el 27 por ciento
de estas aplicaciones no utilizan una conexión segura (HTTPS) para comunicarse.
Además, el 45 por ciento de las aplicaciones que transmiten las contraseñas de los
usuarios utilizan solicitudes GET, lo que no se considera una buena práctica en
términos de seguridad (7).

9
Transmisión de ID de dispositivo y correo electrónico

Mientras que el 75 por ciento de las aplicaciones transmite la dirección de correo

electrónico del usuario a al menos un dominio conectado, el 33 por ciento de ellas
utiliza una conexión no segura para transmitir la dirección de correo electrónico del
usuario a al menos un dominio conectado, y el 60 por ciento de estas aplicaciones
comparte la dirección de correo electrónico del usuario con un tercero. Además, una
de estas aplicaciones transmite la dirección de correo electrónico del usuario a una
IP desconocida cuyo propietario no puede ser identificado (7).

En cuanto a los identificadores de dispositivos, buscamos una identificación única

asociada con el dispositivo que se está utilizando. Más específicamente, IMEI, ID de
GSF e ID de seguridad, descubrimos que el 45 por ciento de las aplicaciones
transmiten al menos la ID única de un dispositivo a al menos uno de los dominios a
los que se conectan. Sin embargo, solo el 44 por ciento de estas aplicaciones usan
HTTPS. Además, el 89 por ciento de las aplicaciones comparten la identificación
segura del dispositivo de un usuario con un tercero. Por lo tanto, al husmear y
vincular de manera única ID de dispositivos únicos a individuos, la privacidad de los
datos de salud confidenciales de los usuarios puede verse comprometida (7).

Blockchain para compartir registros médicos electrónicos

Blockchain ha sido un tema relevante en investigaciones en los últimos años, y es

una tecnología prometedora para resolver los problemas de los sistemas
centralizados. Bitcoin es la primera aplicación de la tecnología blockchain, que crea
un sistema de efectivo electrónico entre pares. La prueba de trabajo es el algoritmo
de consenso utilizado en Bitcoin y en la mayoría de los sistemas de cadena de
bloques modernos para lograr un consenso distribuido entre usuarios desconocidos.
Los algoritmos de firma también son necesarios para proteger la privacidad del
usuario y la seguridad de las transacciones. Blockchain generalmente se considera
una base de datos pública, descentralizada, distribuida y confiable con alta
tolerancia a fallas, que se utiliza en finanzas, computación en la nube, sistemas de
Internet de las cosas y otras aplicaciones (8).

10
El intercambio de datos médicos entre agencias es recurrente, pero el sistema
centralizado actual no puede lograrlo, y muchos sistemas de servicios médicos
distribuidos basados en tecnología blockchain han recibido más investigación en los
últimos años. Por lo tanto, esto abre una importante exploración del intercambio de
datos entre diferentes sistemas tradicionales de prestación de atención médica, con
la tecnología blockchain actuando siempre como un mayor distribuido para registrar
y almacenar EHR. Aunque estos sistemas blockchain médicos distribuidos
proporcionan una plataforma pública para el intercambio gratuito de registros
médicos electrónicos, los protocolos de protección de la privacidad de la seguridad
de los datos y los esquemas de intercambio de mensajes también necesitan más
consideración. (8).

Metodología

Este trabajo investigativo realizó una revisión sistemática de la literatura científica

publicada acerca del análisis de datos clínicos. Se siguieron las directrices de la
declaración PRISMA mientras se lo elaboraba para poder obtener un estudio con
una correcta metodología siguiendo el formato estándar de las revisiones
sistemáticas (fig. 1). A continuación, se elabora el proceso de sus diferentes etapas.
Identificació

Registros identificados en la base

de datos
n

(n = 11753)

Registros luego de
Pesquisaj

Registros excluidos
eliminar los duplicados
(n = 4996)
e

(n = 5152)

Filtros de acuerdo con los

Artículos de los últimos 5 criterios de exclusión
Elegibilida

años evaluados para Cartas al editor (388)

d

elegibilidad Ensayos clínicos (904)

(n = 2696) Reportes de caso (735)
Artículos escritos en
español (658)
Inclusión

Registros totales incluidos

(n = 11)

11
 Figura 1. Identificación de artículos a través de bases de datos

3.1 Búsqueda inicial

Inicialmente, la búsqueda se realizó en julio de 2023 utilizando el término " Privacy

and Security of free software for medical records and medical data " en las bases de
datos Science Direct, PubMed, Google Académico, Springer, IEEE Xplore, Nature
Esta búsqueda arrojó bastantes resultados, muchos de los cuales estaban
duplicados o no eran muy útiles para comentar, pero nos dio una idea general de la
amplitud del tema.

3.2. Búsqueda sistemática

Se realizó nuevamente una búsqueda sistemática en las bases de datos en julio de

2023, y los resultados se limitaron a publicaciones desde 2018 hasta el presente.
Las combinaciones de términos que producen los mejores resultados son las
siguientes:

TS = (Medicine with Free Software and Privacy and Security)

En concreto, se obtuvieron resultados en las bases de datos Science Direct,

PubMed, Google Scholar, Springer, IEEE Xplore y Nature. Antes de proceder con la
selección de artículos, se determinaron los criterios de inclusión y exclusión. Los
artículos incluidos deben tener texto completo y resúmenes, tener una fecha de
publicación entre 2018 y 2023, tener artículos de revisión bibliográfica y meta-
análisis y estar escritos en inglés. En cambio, se excluyeron los informes de casos,
las cartas al editor y los ensayos clínicos.

Se encontraron un total de 11753 resultados (1528 Science Direct, 5463 PubMed,

1920 Google Académico, 1475 Springer, 744 IEEE Xplore, 623 Nature), de los
cuales se descartaron 4996 artículos por estar duplicados, quedando 5152 artículos
a los cuales se les aplicó los criterios de inclusión y exclusión. Se eliminaron 2456
estudios por no estar dentro de los años de búsqueda (2018 al 2023), quedando
2696; de estos, se eliminaron 388 artículos que eran cartas al editor, 904 que eran
ensayos clínicos, 735 que correspondían a reportes de caso y 658 estudios escritos

12
en español. Por lo cual, quedaron 11 artículos que se evaluaron de acuerdo con la
Declaración PRISMA (para revisiones sistemáticas y metaanálisis).

Discusión

En los últimos años, muchos estudios han analizado la seguridad y la privacidad de

las aplicaciones de EHR. Estas incluyen aplicaciones de varios tipos, como
aplicaciones de salud y bienestar, aplicaciones de salud personal y aplicaciones de
recursos médicos, que se enfocan en analizar los aspectos más "visibles" de una
aplicación EHR, estudiando su política de privacidad, interfaz de usuario,
documentación y sitio web. Shipp y Blasco (9), cuyo estudio tuvo como objetivo
investigar las prácticas de privacidad, estimaron cómo las aplicaciones presentan
información y se comportan en una serie de cuestiones relacionadas con la
privacidad, como la complejidad del lenguaje utilizado, la información que recopilan,
la participación de terceros y cómo describen los derechos de los usuarios..

Por ejemplo, el trabajo de Hutton et al. (10) contribuyó con un conjunto de

heurísticas para evaluar las características de privacidad de las aplicaciones de auto
seguimiento y comprender cómo funcionan las aplicaciones actuales del mercado
masivo con respecto a la privacidad. En este estudio, introdujeron 26 heurísticas en
cuatro categorías: (a) notificación y conocimiento, (b) elección y consentimiento, (c)
acceso y compromiso, y (d) disponibilidad de divulgación social. Luego, un grupo de
investigadores del HCI e ingeniería de software utilizó esta heurística para analizar
64 aplicaciones de EHR para el autocontrol mediante la revisión de las interfaces de
usuario, los términos de servicio y las políticas de privacidad de las aplicaciones.

Por otra parte, El uso de datos de salud por parte de terceros puede dar lugar a
violaciones de la privacidad, como la pérdida de cobertura de seguro o primas de
seguro más altas. Braghin et al. (11), en cuyo estudio analizaron los problemas de
seguridad de las aplicaciones de EHR desde dos perspectivas diferentes: En primer
lugar, destacan los requisitos de seguridad y privacidad para los datos de salud
según lo definido por las leyes de protección de datos; en segundo lugar, consideran
los problemas de seguridad desde una perspectiva técnica y analizan cómo las
aplicaciones pueden proteger los datos de los usuarios. También es importante
cumplir con las reglamentaciones y saber en qué país se encuentran esas

13
reglamentaciones, ya que cuando se trata de hacer cumplir los derechos de
privacidad, las reglamentaciones pueden diferir de las del país del usuario.

Conclusión

En conclusión, el uso de bases de datos electrónicas de salud ha crecido

exponencialmente en los últimos años y ha facilitado la posibilidad de compartir y
acceder a la información de los pacientes. Sin embargo, la capacidad de preservar la
privacidad de la información y un alto nivel de confianza organizacional ha sido
durante mucho tiempo un enfoque en el cuidado de la salud. La atención médica se
está transformando hacia una medicina y atención médica de precisión preventiva,
predictiva y participativa personalizada, que desafía qué EHR recopila, almacena,
usa y comparte, y cómo comprender y crear privacidad y confianza.

De esta manera, el estándar integral propuesto puede servir como guía para
diseñadores de aplicaciones, desarrolladores e incluso investigadores. Los
estándares y las contramedidas propuestas en este estudio pueden considerar
mejorar la privacidad y la seguridad de las aplicaciones de EHR antes de que se
lancen al mercado. Se recomienda a los reguladores que consideren el uso de
criterios establecidos para dichos estándares en el proceso de certificación, ya que
la auto certificación proporcionada por los desarrolladores no es lo suficientemente
confiable.

Después del análisis, llegamos a la conclusión de que las ventajas y los beneficios
de la tecnología de la información superan con creces sus peligros y amenazas.
Como resultado, los requisitos de seguridad serán cada vez más difíciles de cumplir
sin inversiones significativas en infraestructura y mano de obra. El dilema es que la
seguridad es inversamente proporcional a la comodidad del consumidor. En otras
palabras, cuanto más complejas son las medidas de seguridad, menos cómodos se
sienten los consumidores y, por lo tanto, es menos probable que utilicen el servicio.
Por lo tanto, encontramos que la solución propuesta aborda parcialmente el desafío
de seguridad. La mayoría de estas soluciones abordan parte del problema, pero no
logran equilibrar todos los requisitos de seguridad en conflicto.

14
Referencias bibliográficas
1. Guo R, Shi H, Zhao Q, Zheng D. Secure Attribute-Based Signature Scheme With
Multiple Authorities for Blockchain in Electronic Health Records Systems. IEEE
Access.2018;6(1):11676-86. Obtenido de:
https://ieeexplore.ieee.org/abstract/document/8279429

2. Iwaya LH, Fischer-Hübner S, Åhlfeldt RM, Martucci LA. Mobile Health Systems for
Community-Based Primary Care: Identifying Controls and Mitigating Privacy
Threats. JMIR Mhealth Uhealth. 20 de marzo de 2019;7(3):e11642. Obtenido de:
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6446152/

3. Kaissis G, Ziller A, Passerat-Palmbach J, Ryffel T, Usynin D, Trask A, et al. End-

to-end privacy preserving deep learning on multi-institutional medical imaging. Nat
Mach Intell. junio de 2021;3(6):473-84. Obtenido de:
https://www.sciencedirect.com/science/article/pii/S1110866520301365

4. Keshta I, Odeh A. Security and privacy of electronic health records: Concerns and
challenges. Egyptian Informatics Journal. 1 de julio de 2021;22(2):177-83.
Obtenido de: https://www.nature.com/articles/s42256-021-00337-8

5. Basil NN, Ambe S, Ekhator C, Fonkem E. Health Records Database and Inherent
Security Concerns: A Review of the Literature. Cureus. octubre de
2022;14(10):e30168. Obtenido de:
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC9647912/

6. Tertulino R, Antunes N, Morais H. Privacy in electronic health records: a

systematic mapping study. J Public Health (Berl) [Internet]. 23 de enero de 2023
[citado 21 de julio de 2023]; Disponible en: Obtenido de:
https://doi.org/10.1007/s10389-022-01795-z

7. Papageorgiou A, Strigkos M, Politou E, Alepis E, Solanas A, Patsakis C. Security

and Privacy Analysis of Mobile Health Applications: The Alarming State of
Practice. IEEE Access. 2018;6:9390-403. Obtenido de: https://
10.1109/ACCESO.2018.2799522

15
8. Fu J, Wang N, Cai Y. Privacy-Preserving in Healthcare Blockchain Systems Based
on Lightweight Message Sharing. Sensors (Basel). 29 de marzo de
2020;20(7):1898. Obtenido de:
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7180853/

9. Shipp L, Blasco J. How private is your period?: A systematic analysis of menstrual

app privacy policies. Proceedings on Privacy Enhancing Technologies. 1 de
octubre de 2020;2020(4):491-510. Obtenido de:
https://petsymposium.org/popets/2020/popets-2020-0083.pdf

10. Hutton L, Price BA, Kelly R, McCormick C, Bandara AK, Hatzakis T, et al.
Assessing the Privacy of mHealth Apps for Self-Tracking: Heuristic Evaluation
Approach. JMIR Mhealth Uhealth. 22 de octubre de 2018;6(10):e185. Obtenido
de: 10.2196/mhealth.9217

11. Braghin C, Cimato S, Della Libera A. Are mHealth Apps Secure? A Case
Study. En: 2018 IEEE 42nd Annual Computer Software and Applications
Conference (COMPSAC). 2018. p. 335-40. Obtenido de:
https://ieeexplore.ieee.org/document/8377881

16
 Anexos

Anexo A. Figuras

Figura 1. Principales conceptos mencionados y exigidos por la legislación y políticas

vigentes sobre seguridad y protección de la privacidad de los usuarios (6).

17