Registros médicos de millones de personas expuestos por software

Un grupo de especialistas en seguridad informática de la plataforma especializada WizCase (reporte completo aquí) ha reportado el hallazgo de múltiples filtraciones de datos desde sitios web de medicina de todas partes del mundo. La información comprometida incluye recetas médicas, diagnósticos, números de Seguridad Social y, en muchos casos, nombres completos y domicilio.

Todas las bases de datos fueron encontradas sin asegurar, ni siquiera se necesitaba de una contraseña para acceder a la información, dejando expuestos a millones de pacientes.

Avishai Efrat, líder de la investigación, descubrió al menso nueve bases de datos médicos sin asegurar en países como Arabia Saudita, Brasil, Canadá, China, Estados Unidos, Francia y Nigeria. Aunque varían en cada caso particular, en general los detalles expuestos incluyen:

Nombres completos
Números telefónicos
Domicilio
Dirección email
Lugar de trabajo
Números de seguro social
Diagnósticos
Recetas médicas
Resultados de análisis clínicos

***Infografía de las filtraciones. Fuente: WizCase***

Respecto a las compañías operadoras de estas bases de datos expuestas, los expertos en seguridad informática también lograron establecer un perfil detallado, descrito de forma breve en los siguientes párrafos.

Arabia Saudita: La compañía de software aplicado a la salud Stella Technology expuso más de 4 GB de información perteneciente a cerca de 300 mil pacientes, incluyendo múltiples detalles personales, en un servidor Elasticsearch
Brasil: La base de datos expuesta en territorio brasileño, operada por la compañía Biosoft Medical Software, cuenta con 3 GB de información, equivalente a casi un millón 200 mil registros pertenecientes a pacientes de todo el país
Canadá: En el caso de Canadá, la compañía involucrada es Dental Software, con su solución ClearDent. En este caso se descubrió una base de datos de 8 MB, equivalente a casi 60 mil pacientes expuestos, en un servidor Elasticsearch
China: La Facultad de Medicina de la Universidad de Tsinghua expuso una base de datos de 650 MB, equivalentes a 60 mil registros de pacientes del Hospital Universitario de Tsinghua y de otros centros médicos en diversas ciudades chinas
Estados Unidos: Deep Think Health, compañía que proporciona una plataforma de aprendizaje automático para la industria médica, expuso una base de datos de 2.8 GB, lo que representa más de 700 mil registros sobre pacientes y personal médico en un servidor Elasticsearch. Los casos más sensibles involucran la exposición de diagnósticos y tratamiento de pacientes con cáncer
Francia: La compañía involucrada en territorio francés es Essilor, dedicada al diseño y manufactura de aparatos oftalmológicos. La base de datos comprometida consta de 5.7 GB, que incluyen detalles de miles de pacientes, optometristas y empleados de diversas áreas de la compañía
Nigeria: Todos los resultados de la Encuesta de Indicadores e Impacto del VIH/SIDA 2018 fueron expuestos en el país africano. En total, la base de datos consta de 1 GB, equivalentes a más de 88 mil registros.

***Registro de Encuesta sobre VIH/SIDA en Nigeria. Fuente: WizCase***

Acorde a los expertos en seguridad informática, debido a que la mayoría son servicios prestados por terceros, lo más probable es que las personas afectadas ni siquiera sepan que sus datos están en manos de estas compañías. Sin importar si estamos al tanto o no, los riesgos de seguridad son reales; entre estos riesgos se encuentran prácticas ampliamente conocidas, como el phishing, las campañas de emails de extorsión, fraudes telefónicos y por email, y robo de identidad.

***Miles de fotografías de recetas médicas expuestas. Fuente: WizCase***

La intervención de las compañías externas dificulta el proceso de contención de esta clase de incidentes, no obstante, expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) aconsejan a cualquier usuario potencialmente afectado seguir algunos consejos simples. Es necesario ignorar cualquier email sospechoso o que incluya enlaces a sitios externos, pues seguramente ya se están desplegando campañas masivas de phishing usando los datos expuestos. Además, recuerde que nunca se debe revelar información personal vía correo electrónico, pues ninguna compañía legítima solicita datos personales por este medio. El monitoreo continuo de sus cuentas en línea y estados de cuenta bancarios también es una buena alternativa.

Alisa Esage G

Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

Registros médicos de millones de personas en todo el mundo expuestos por software inseguro

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

11 formas de hackear ChatGpt y sistemas de IA generativa

CANAL DE NOTICIAS DE CIBERSEGURIDAD