Un grupo de especialistas en seguridad informática de la plataforma especializada WizCase (reporte completo aquí) ha reportado el hallazgo de múltiples filtraciones de datos desde sitios web de medicina de todas partes del mundo. La información comprometida incluye recetas médicas, diagnósticos, números de Seguridad Social y, en muchos casos, nombres completos y domicilio.
Todas las bases de datos fueron encontradas sin asegurar, ni siquiera se necesitaba de una contraseña para acceder a la información, dejando expuestos a millones de pacientes.
Avishai Efrat, líder de la investigación, descubrió al menso nueve bases de datos médicos sin asegurar en países como Arabia Saudita, Brasil, Canadá, China, Estados Unidos, Francia y Nigeria. Aunque varían en cada caso particular, en general los detalles expuestos incluyen:
- Nombres completos
- Números telefónicos
- Domicilio
- Dirección email
- Lugar de trabajo
- Números de seguro social
- Diagnósticos
- Recetas médicas
- Resultados de análisis clínicos
Respecto a las compañías operadoras de estas bases de datos expuestas, los expertos en seguridad informática también lograron establecer un perfil detallado, descrito de forma breve en los siguientes párrafos.
- Arabia Saudita: La compañía de software aplicado a la salud Stella Technology expuso más de 4 GB de información perteneciente a cerca de 300 mil pacientes, incluyendo múltiples detalles personales, en un servidor Elasticsearch
- Brasil: La base de datos expuesta en territorio brasileño, operada por la compañía Biosoft Medical Software, cuenta con 3 GB de información, equivalente a casi un millón 200 mil registros pertenecientes a pacientes de todo el país
- Canadá: En el caso de Canadá, la compañía involucrada es Dental Software, con su solución ClearDent. En este caso se descubrió una base de datos de 8 MB, equivalente a casi 60 mil pacientes expuestos, en un servidor Elasticsearch
- China: La Facultad de Medicina de la Universidad de Tsinghua expuso una base de datos de 650 MB, equivalentes a 60 mil registros de pacientes del Hospital Universitario de Tsinghua y de otros centros médicos en diversas ciudades chinas
- Estados Unidos: Deep Think Health, compañía que proporciona una plataforma de aprendizaje automático para la industria médica, expuso una base de datos de 2.8 GB, lo que representa más de 700 mil registros sobre pacientes y personal médico en un servidor Elasticsearch. Los casos más sensibles involucran la exposición de diagnósticos y tratamiento de pacientes con cáncer
- Francia: La compañía involucrada en territorio francés es Essilor, dedicada al diseño y manufactura de aparatos oftalmológicos. La base de datos comprometida consta de 5.7 GB, que incluyen detalles de miles de pacientes, optometristas y empleados de diversas áreas de la compañía
- Nigeria: Todos los resultados de la Encuesta de Indicadores e Impacto del VIH/SIDA 2018 fueron expuestos en el país africano. En total, la base de datos consta de 1 GB, equivalentes a más de 88 mil registros.
Acorde a los expertos en seguridad informática, debido a que la mayoría son servicios prestados por terceros, lo más probable es que las personas afectadas ni siquiera sepan que sus datos están en manos de estas compañías. Sin importar si estamos al tanto o no, los riesgos de seguridad son reales; entre estos riesgos se encuentran prácticas ampliamente conocidas, como el phishing, las campañas de emails de extorsión, fraudes telefónicos y por email, y robo de identidad.
La intervención de las compañías externas dificulta el proceso de contención de esta clase de incidentes, no obstante, expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) aconsejan a cualquier usuario potencialmente afectado seguir algunos consejos simples. Es necesario ignorar cualquier email sospechoso o que incluya enlaces a sitios externos, pues seguramente ya se están desplegando campañas masivas de phishing usando los datos expuestos. Además, recuerde que nunca se debe revelar información personal vía correo electrónico, pues ninguna compañía legítima solicita datos personales por este medio. El monitoreo continuo de sus cuentas en línea y estados de cuenta bancarios también es una buena alternativa.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad