Información de hospitales privados
- Error en la configuración de seguridad en populares aplicaciones hospitalarias expone información sensible de ciudadanos mexicanos.
- Se pudieron haber filtrado datos personales como nombres, CURP, fechas de nacimiento, teléfonos y correos electrónicos de millones de usuarios.
- Aunque la empresa responsable de la aplicación corrigió de manera inmediata la vulnerabilidad, se desconoce si los ciudadanos afectados y los centros de atención médica involucrados han sido notificados de la brecha de seguridad.
El portal especializado Cybernews reportó la filtración de datos personales que afectaría a más de cinco millones de pacientes de diversas instituciones hospitalarias privadas de México.
La filtración, atribuida a una configuración de seguridad incorrecta en un sistema hospitalario administrado por la empresa de software eCaresoft Inc., expuso información sensible de los usuarios, incluidos datos personales como nombres, CURP, etnias, nacionalidades, religiones, tipos de sangre, fechas de nacimiento, números de teléfono, correos electrónicos, montos cobrados por servicios y centros de atención visitados.
Este evento, detectado por el equipo de investigación de Cybernews, se originó en una aplicación conocida como “Kibana”, una herramienta ampliamente utilizada en sistemas de información hospitalaria para el monitoreo y análisis de datos.
La filtración se originó por la falta de solicitud de una contraseña en la configuración de seguridad y eso permitió que aproximadamente 500 GB de información, perteneciente a 5.3 millones de mexicanos, estuvieran expuestos y fueran susceptibles de accederse sin restricciones.
La empresa eCaresoft Inc., al ser informada de la vulnerabilidad, cerró inmediatamente el acceso a “Kibana”. No obstante, al día de hoy, no se tiene confirmación sobre si los ciudadanos afectados y los centros de atención médica involucrados han sido notificados o si las autoridades de ciberseguridad mexicanas ya han emitido alertas a los ciudadanos sobre los posibles intentos de fraude que puedan surgir a raíz de esta filtración.
La filtración
La base de datos filtrada incluye información personal de pacientes como nombres completos, CURP, sus detalles de contacto como números de teléfono y direcciones de correo electrónico. Además, en la base de datos vulnerada también se encuentra la información hospitalaria detallada, incluidos montos cobrados, hospitales visitados y solicitudes de pago.
De acuerdo a Paulina Okunytė, autora del reporte de Cybernews, los investigadores atribuyeron la brecha en la seguridad a eCaresoft Inc., una empresa de software con sede en Texas que ha desarrollado y operado dos sistemas de información hospitalaria basados en la nube, “Cirrus” y “Anytime”.
“Las instituciones de salud utilizan estas plataformas para gestionar diversos aspectos del trabajo sanitario, incluyendo la administración de inventarios y medicamentos, la programación de citas médicas, la sincronización de información entre departamentos y el mantenimiento de los historiales médicos de cada paciente. Según la empresa, los usuarios de la plataforma incluyen más de 30,000 médicos, 65 hospitales y 110 centros de atención ambulatoria”, se detalla en el reporte.
Impactos potenciales
En la investigación se concluye que la exposición de estos datos presenta serios riesgos de seguridad para los ciudadanos afectados, quienes podrían estar en peligro de sufrir robos de identidad, fraudes bancarios y otros actos de cibercriminalidad. Además, la CURP, que es el número de identificación oficial en México, podría ser utilizado para acceder a servicios en línea, abrir cuentas bancarias, y hasta manipular beneficios de seguros médicos.
«Los atacantes podrían utilizar esta información filtrada para explotar reclamaciones de seguros, robar dinero o defraudar los sistemas de salud. Las víctimas podrían experimentar transacciones no autorizadas y deudas no pagadas», advirtió el equipo de investigación de Cybernews.
«Las organizaciones criminales pueden comprar, vender y explotar estos datos filtrados en la dark web, donde pueden ser utilizados en una amplia gama de actividades fraudulentas o esquemas de extorsión.»
Cybernews contactó a la empresa respecto a la filtración descubierta, y la instancia abierta ha sido cerrada. Aún no se ha recibido un comentario oficial, aunque hasta hace unos días el portal no tenía información sobre si los individuos afectados y los proveedores de atención médica habían sido informados sobre la filtración.
“No siempre son los actores maliciosos los culpables -se señala en el artículo- lamentablemente, no es raro que las empresas hagan públicos datos sensibles, entregándolos potencialmente a actores malintencionados sin que ellos tengan que hacer el menor esfuerzo.
Si se deja el acceso a “Kibana” u otra herramienta ampliamente utilizada, como “Elasticsearch”, sin la autenticación adecuada, los datos pueden ser indexados por motores de búsqueda y estar disponibles para cualquiera en línea. Los actores maliciosos están constantemente escaneando la red, buscando bases de datos sin seguridad para robar información.
“La investigación de Cybernews ha demostrado que las filtraciones en las que las empresas no aseguran el acceso a la infraestructura digital son un problema muy común y subestimado.
Para dar un ejemplo, a principios de este año, Cybernews encontró una filtración de datos que afectó a toda la población de Brasil. La instancia abierta contenía cientos de millones de números del Cadastro de Pessoas Físicas (CPF), que se utilizan para identificar a los contribuyentes en ese país.
“Si bien eCaresoft reaccionó rápidamente ante la divulgación y aseguró el acceso, desafortunadamente, en muchos casos, las empresas no responden, y los datos permanecen accesibles para cualquiera durante largos periodos de tiempo.
“Si bien es probable que estas filtraciones sean errores humanos no intencionales, podrían estar causando daños significativos y son un claro recordatorio de que las buenas prácticas de ciberseguridad son cruciales”, concluye.
El reporte de Cybernews se puede consultar en: https://cybernews.com/security/ecaresoft-data-leak/
