Verificación de identidad en el sector salud: Protección en la atención remota

Disponibles y plenamente legales en muchos países, los servicios de asesoramiento médico en línea son ampliamente reconocidos por los pacientes.

Esta transformación digital no solo impulsa el crecimiento de la atención médica remota, sino que también exige nuevos enfoques operativos para la gestión de citas médicas, certificados de incapacidad, recetas, acceso a resultados de laboratorio y tratamientos continuos.

En este contexto, una verificación precisa de la identidad del paciente es fundamental, ya que garantiza que la persona correcta reciba el tratamiento adecuado. Además, ayuda a prevenir el robo de identidad médica y otras tácticas fraudulentas.

Además, como algunos servicios de salud en línea aplican restricciones de edad, la verificación de edad también se integra al proceso de IDV.

Los servicios que ofrecen consultas médicas en línea suelen operar como otras plataformas digitales, como las aplicaciones bancarias o de movilidad. Requieren un inicio de sesión para nuevos clientes y autenticación para los usuarios ya registrados.

Un usuario por primera vez generalmente debe crear un perfil de paciente antes de agendar una cita. Este perfil puede incluir el nombre del paciente, dirección, número de celular y un número de identificación personal obtenido del pasaporte y/o de DNI. Una vez registrado, todas las citas, formularios médicos y otra información sensible se almacenan en ese perfil. Por ello, algunos datos personales pueden necesitar ser confirmados durante el proceso de incorporación (onboarding). Además, se requiere autenticación segura.

La mayoría de los proveedores de salud eligen cómo verificar la identidad del paciente según sus políticas internas. Entre los métodos comunes se encuentran:

• Una verificación estándar de identidad, en la que los pacientes presentan un documento oficial y, en ocasiones, una selfie

• Inicio de sesión mediante servicios de terceros verificados

• Verificación del correo electrónico o número de teléfono

Dependiendo del proveedor, la verificación de identidad puede ser obligatoria para todos los nuevos pacientes o solo para ciertos servicios.

Veamos cómo funcionan estos métodos en la práctica.

El proveedor letón Medon ofrece varias opciones de verificación, incluyendo el envío de un documento de identidad o la autenticación a través de servicios de terceros como bancos o plataformas de identidad digital.

Como se mencionó antes, la verificación de identidad puede ser selectiva. Este es el enfoque adoptado por Boots Digital Health Ltd en el Reino Unido.

Según el servicio solicitado, se puede pedir a los usuarios que confirmen su identidad presentando una selfie junto con una foto de un documento oficial que incluya su nombre. Sin embargo, todos los nuevos usuarios deben proporcionar un factor de autenticación basado en conocimiento durante el registro.

En algunos países, como Estados Unidos, servicios como MyChart permiten a los pacientes acceder a citas, historiales médicos y expedientes clínicos a través de múltiples proveedores de salud. Esto permite iniciar sesión en plataformas conectadas usando su perfil de MyChart.

Curiosamente, el proceso de incorporación del paciente varía bastante. Mientras MyChart ofrece un formulario corto con verificación inmediata por correo, Ballad Health solicita más datos personales como dirección, sexo, fecha de nacimiento y número telefónico. Sin embargo, en ninguna de las dos plataformas se exige la verificación de identidad mediante documento.

Doctor On Demand, otro servicio de atención médica remota con sede en EE. UU., sigue una política similar. Los usuarios pueden registrarse rápidamente con su correo electrónico y contraseña, siendo obligatoria la verificación por correo en su primer inicio de sesión. No obstante, si desean actualizar información crítica del perfil, como su nombre, fecha de nacimiento, correo electrónico o género, deben enviar una solicitud al equipo de soporte.

A pesar de las diferencias en regulaciones y condiciones operativas, los proveedores de atención médica en línea de todo el mundo enfrentan desafíos similares, la mayoría relacionados con la identidad.

Lamentablemente, los deepfakes no son ajenos al sector salud. Según un estudio de Regula, las empresas del sector han enfrentado deepfakes de audio (43 %) y video (41 %). Estos incidentes pueden causar daños a la reputación, interrupciones operativas y costos legales.

Al generar identidades completamente falsas o parcialmente auténticas (identidades sintéticas), los estafadores pueden suplantar a pacientes reales o incluso a profesionales de la salud vinculados con servicios legítimos. Esto les permite acceder de forma no autorizada a historiales médicos, obtener recetas de medicamentos restringidos o aprovechar beneficios del seguro médico del paciente para recibir consultas gratuitas. Además, los deepfakes también están impulsando la difusión de información médica falsa, especialmente en redes sociales.

Ejemplo real

En 2024, una campaña de video deepfake en Facebook suplantó a un experto del Instituto Baker de Corazón y Diabetes en Melbourne, Australia. En el anuncio falso, el "doctor" promovía suplementos dietéticos como tratamiento para la diabetes tipo 2, desacreditando tratamientos aprobados legalmente.

Como resultado, tanto la organización como el experto tuvieron que emitir un comunicado oficial aclarando que el video había sido generado con inteligencia artificial y advirtiendo a los pacientes sobre la estafa. Aun así, muchos comenzaron a llamar al consultorio preguntando por el falso tratamiento.

Debido a que muchos proveedores de salud remota ofrecen consultas sin video, los estafadores pueden aprovechar esta brecha utilizando identidades robadas o documentos falsificados para registrarse y acceder a servicios médicos. Las fuentes más comunes de estos datos son filtraciones en sistemas de salud, correos electrónicos de phishing, mensajes falsos y llamadas fraudulentas.

Como resultado, los pacientes reales pueden terminar pagando tratamientos que nunca recibieron. Además, sus historiales médicos pueden verse comprometidos, mezclándose con los datos del impostor, lo que podría derivar en diagnósticos erróneos y tratamientos inadecuados. Para los proveedores de salud, estas situaciones implican riesgos legales y reputacionales a largo plazo.

Ejemplo real

En 2024, una mujer de Arizona, EE. UU., recibió facturas por cientos de miles de dólares después de que un estafador usara su identidad para recibir atención médica de varios proveedores, incluyendo consultas, pruebas y tratamientos.

Debido a la ausencia de un sistema centralizado de registros médicos en EE. UU., detectar a los impostores sigue siendo un reto para instituciones de salud y autoridades. En este caso, no se logró identificar al culpable y la investigación fue cerrada.

En países con sistemas de salud basados en seguros, los estafadores pueden utilizar identidades robadas o fabricadas para cometer fraude. Tácticas comunes incluyen presentar reclamos falsos usando el seguro de otra persona o registrarse en múltiples planes con documentos falsos para maximizar beneficios.

A menudo, estos fraudes pasan desapercibidos durante años y solo se descubren cuando el daño financiero ya es significativo. Esto impacta directamente a aseguradoras y proveedores médicos, y de forma indirecta a los consumidores, ya que las aseguradoras aumentan las primas para compensar las pérdidas.

Ejemplo real

Un gestor de facturación médica de Nueva York recibió una condena de 12 años de prisión y una orden de restitución por $336 millones  tras organizar un esquema multimillonario de fraude. Entre sus tácticas, suplantaba a pacientes y sus familiares en miles de llamadas a aseguradoras, presionando para revertir rechazos o aumentar pagos de reclamos aprobados.

Las credenciales filtradas en brechas de datos también pueden ser utilizadas para tomar control de cuentas (account takeover), permitiendo a criminales acceder a portales de pacientes. Desde ahí, pueden ordenar medicamentos, agendar citas médicas gratuitas o incluso extorsionar a víctimas con amenazas de divulgar información médica sensible.

Los estafadores suelen aprovechar dos puntos débiles: el registro de nuevos usuarios y la autenticación de pacientes recurrentes.

Para construir un sistema fiable, los proveedores deben implementar procesos sólidos de validación de identidad en el onboarding y autenticaciones seguras para los usuarios ya registrados. Estas son algunas de las mejores prácticas:

La autenticación de documentos en tiempo real impide el uso de identificaciones falsas. El software IDV analiza el diseño del documento, sus elementos de seguridad y la coherencia de los datos para detectar falsificaciones.

En países donde se usan identificaciones electrónicas oficiales (como pasaportes biométricos), la tecnología NFC permite verificar la autenticidad del documento de forma remota mediante la lectura del chip RFID.

Con el aumento de fotos y documentos generados por IA, es indispensable contar con verificación biométrica facial con prueba de vida. Esto impide el robo de identidad médica y garantiza que se trate de una persona real.

Soluciones modernas como Regula Face SDK analizan micromovimientos y reflejos de luz para detectar rostros generados artificialmente. Esta tecnología también permite autenticar documentos mediante el análisis de elementos dinámicos.

Comparación de rostros—comparar una selfie con la foto del documento o con una base de datos externa añade una capa extra de seguridad. Esta verificación puede realizarse junto con la autenticación del documento en una sola operación. Esto evita que un impostor acceda a servicios médicos usando la identidad de otra persona.

Aunque muchos servicios de salud en línea aún dependen de contraseñas y códigos por correo o SMS, estos métodos son vulnerables si no se aplican buenas prácticas.

Sustituir o complementar contraseñas con biometría (por ejemplo, reconocimiento de rostros) mejora significativamente la seguridad. Según el estudio de Regula, muchos proveedores ya aplican MFA y verificación biométrica.

Estas medidas también ayudan a gestionar accesos, reduciendo riesgos internos de fraude por parte del personal médico o administrativo.

Algunos servicios médicos en línea están dirigidos únicamente a mayores de edad mientras que otros atienden a usuarios más jóvenes. Para estos casos, la verificación de edad es esencial.

Los sistemas IDV verifican la fecha de nacimiento y el diseño del documento (por ejemplo, algunas licencias de conducir de menores en EE. UU. tienen orientación vertical como indicador adicional).

Para ofrecer una mejor experiencia de usuario, esta verificación puede aplicarse únicamente a ciertos servicios, como los tratamientos para el acné.

Por último, pero no menos importante, automatizar el proceso de verificación mejora significativamente la experiencia del usuario. Cuanto menor sea la intervención manual, mejor será la experiencia.

Regula Document Reader SDK automatiza el ingreso de datos extrayendo información personal de los documentos de identidad, reduciendo errores y mejorando la precisión. Además, su tecnología avanzada de captura evita repeticiones de fotos y selfies, haciendo de la incorporación una experiencia satisfactoria para los usuarios.

La verificación de pacientes requiere cumplimiento normativo y tecnologías avanzadas, como autenticación biométrica y validación de documentos con prueba de vida. En la atención médica remota, esto es esencial.

Los SDK de Regula ofrecen soluciones integradas y compatibles con múltiples plataformas para proveedores de salud. Conversemos sobre su caso de uso y cómo podemos ayudarle.