Más de 870.000 exámenes de rayos X, ecografías y resonancias, entre otros análisis de imagenología, pudieron ser vulnerados junto a información confidencial de pacientes como RUT, nombre y diagnósticos, por una falla de seguridad de @BupaChile, parte de la red británica @Bupa.
En el caso de @RedSaludCChC, que agrupa a clínicas, centros médicos y clínicas dentales de la @CamaraCChC, se desconoce la cantidad total de exámenes expuestos, pero según su memoria anual de 2019, aseguran haber realizado más de 400 mil exámenes.
Esto, debido a que ambos prestadores de salud, dejaron configurada su plataforma de visualización de exámenes con un nombre de usuario y contraseña predeterminados. En seguridad informática esta falla se conoce como vulnerabilidad de “clave por defecto”.
Así lo descubrió un investigador de seguridad, de quien resguardaremos su identidad. En conversación con NYC, el experto señaló que esta información pudo ser utilizada para estafas, extorsión, dox (intimidación a partir de investigación y publicación de información privada), etc.
La periodista de NYC, @danielasuau, pudo ver esta información y constatar que tanto en @BupaChile como en @RedSaludCChC se encontraban exámenes de autoridades políticas: 8 diputados, 2 senadores, un presidente de un partido y un hijo del Presidente @sebastianpinera.
Debido a las fallas de los prestadores de salud -detectadas en 2019 y 2020-, el investigador pudo acceder a exámenes realizados entre 2011 y 2019. NYC confirmó esto, pudiendo ver, por ejemplo, la ecotomografía mamaria de un parlamentario, por posible diagnóstico de Ginecomastia.
En manos de un atacante esta información es sensible, ya que el paciente pudo ser chantajeado. “La categorización del riesgo se mide de 1 a 10. Si la vulnerabilidad es muy fácil de explotar y tiene data sensible, generalmente es 10”, dice el experto en ciberseguridad.
Además, explica que “en el caso de la vulnerabilidad de ‘clave por defecto’, la expertise requerida de un atacante para acceder a esta información es muy baja -tanto en @BupaChile como en @RedSaludCChC-, por eso tienen una catalogación de 10, lo que es bastante grave”.
En el caso de RedSalud, nuestra fuente informó a la Gerencia Corporativa de Sistemas y Tecnología, en abril de 2019. En cuanto descubrió la misma falla en Bupa, contactó a un Analista de Ciberseguridad, con quien habló entre el 23 de diciembre de 2020 y el 14 de enero pasado.
NYC tomó contacto con @RedSaludCChC, quienes aseguraron que: “Siguiendo nuestras políticas de seguridad y protocolos establecidos para este tipo de casos, en menos de 24 horas se tomaron medidas para reforzar la plataforma que gestiona la entrega de exámenes radiológicos”.
El investigador señala que si bien no le consta que hayan sido 24 horas, recuerda que la reacción de RedSalud fue bastante rápida. De hecho, sostuvieron una reunión a las pocas semanas de haber hecho el reporte formal.
En conversación de NYC con @BupaChile, respondieron que: “Una vez detectado el hecho, se activaron los protocolos correspondientes y se logró poner fin a la vulneración en menos de dos horas”.
Asimismo, aseguran que “el análisis realizado internamente con expertos informáticos mostró que existió acceso a los datos de 22 pacientes”. En este caso, nuestra fuente dice que lo que no aclaran es si eso fue analizado en todo el periodo de tiempo que el sistema fue vulnerable.
Tampoco coinciden los tiempos de resolución señalados por Bupa -explica el investigador-, ya que una semana después del primer aviso hecho por nuestra fuente, tuvo que volver a tomar contacto con ellos para notificarles que la vulnerabilidad seguía activa.
Finalmente, señala que “si bien en el comunicado indican que la resolución fue rápida, demoraron más de una semana en arreglarlo y recién el día de ayer se comunicaron conmigo nuevamente, para saber más detalles de la vulnerabilidad, lo que me parece extraño”.
Según la ONG @derechosdigital que trabaja en el desarrollo, defensa y promoción de los DDHH en el entorno digital, ambos prestadores de salud deben iniciar una investigación sobre si las vulnerabilidades fueron explotadas en el pasado, es decir, antes de que les notificaran.
“Una buena práctica de seguridad, sería informar primero a las personas afectadas y a los servicios que los supervisan, como la @SuperDeSalud”, señala Juan Carlos Lara, abogado y director del área de Investigación y Políticas Públicas de @derechosdigital.
Incluso, refuerza Lara: “Avisar a los pacientes que podrían no haberse visto vulnerados, para advertir posibles vulneraciones de sus datos personales. Si alguien adquirió información mía, probablemente me pueda extorsionar y yo podría tener alguna preocupación al respecto”.
Conversamos con una de las diputadas afectadas, a quien le propusimos resguardar su identidad por respeto a la vulneración sufrida, pero prefirió hablar debido a su trabajo legislativo en delitos informáticos. @MaiteOrsini dijo a NYC que: “hay una doble negligencia”.
“Primero, una falla en la protección de una base de datos con información sensible como son los registros médicos. Segundo, porque fueron advertidos de esta falla por un hacker ético y no se hizo nada para resolverla. En mi opinión es una negligencia que se asemeja a la desidia”.
Orsini agrega que, “lo más irónico de todo, es que hace unos meses discutimos en la Comisión de Seguridad sobre el ‘hackeo ético’, quienes justamente identifican brechas sin aprovecharse de ellas. Es irónico, porque muchos diputados querían ponerle trabas”.
Asimismo @MaiteOrsini confirmó que supo de esta situación por NYC esta mañana y que recién después recibió una llamada de @BupaChile, quien tomó contacto con ella para informarles de la vulneración ocurrida.
*Antes de publicar este hilo, NYC confirmó que la vulnerabilidad identificada por el experto en ciberseguridad, ya no estuviese disponible para cualquier usuario, con el propósito de no exponer aún más la información de salud, ni personal de las y los pacientes afectados.