La información médica de más de dos millones de mexicanos ha sido expuesta en Internet. Los datos incluyen nombres, sexo, fechas de nacimiento, direcciones y estados de salud de pacientes, reveló una base de datos que fue descubierta por el investigador de seguridad informática Bob Diachenko.
De acuerdo con Bleeping Computer, un sitio de soporte técnico de noticias sobre tecnología, guías de seguridad y tutoriales, la base de datos de MongoDB fue descubierta por Diachenko a través de Shodan, un motor de búsqueda para todos los dispositivos conectados a Internet y no solo para los servidores web.
El investigador informó en su cuenta de Twitter que los diagnósticos de los pacientes mexicanos también incluyen las recetas médicas de más de 100 mil de personas.
“El 3 de agosto descubrí que la información personal de 2 millones 373 mil 764 pacientes de México está públicamente disponible a través de una instancia de MongoDB mal configurada”, detalló Bob Diachenko.
Los datos incluyeron campos tales como:
• Nombre completo y sexo
• Número de CURP (es decir, número de código de identificación personal, un código de identidad único para ciudadanos y residentes de México)
• Número de póliza de seguro y su fecha de vencimiento
• Fecha de nacimiento
• Dirección de casa
• Indicadores de discapacidad y estado migratorio
El investigador detalló que la base de datos se expuso completamente a Internet y cualquiera puede acceder y editar la información sin una contraseña.
Al analizar el contenido de la base de datos, el investigador identificó como el supuesto propietario de la información a la empresa Hova Health, una compañía de telemedicina centrada en dos áreas principales: telemedicina (teleradiología – telesalud) y desarrollo de software para el sector de la salud.
Aquí los correos que tenían los dominios de hovahealth.com y efimed.care difundidos por el investigador:
La base de datos también contenía contraseñas para cuentas de administrador y correos electrónicos, por lo que se podía notificar rápidamente a las personas responsables y tener un conjunto de datos asegurado.
Diachenko recibió la siguiente respuesta por correo electrónico de los administradores:
“Todas las áreas que trabajan en este proyecto están revisando exactamente lo que sucedió y revisando toda nuestra infraestructura para evitar este tipo de eventos”.
Curiosamente, destacó el investigador, “toda la información de los pacientes que revisé estaba relacionada con el estado de Michoacán”.
A pesar de que las entradas de la base de datos daban fe de qué personas la administraban, ellas nunca confirmaron que dicha información era de su propiedad. En este sentido, Diachenko consideró que no se sabe con exactitud a quién pertenecen estos datos.
“No está claro cuánto tiempo estuvo expuesta públicamente la información o quién más, excepto yo, tenía acceso. Esta es otra advertencia para cualquier compañía o proveedor de servicios que maneje y almacene datos médicos personales. Los expertos en seguridad advierten que no sólo deben auditar sus procesos de seguridad con regularidad, sino que también deben tener un proceso de respuesta ante incidentes en caso de una fuga de datos”, señaló.
El investigador destacó que los problemas con MongoDB se conocen desde marzo de 2013 y a pesar de que la compañía ha actualizado su software con los valores predeterminados de seguridad y ha publicado las pautas de seguridad, estas bases de datos no seguras todavía y están ampliamente disponibles en Internet. “Casi 54 mil bases de datos está disponibles ahora”, según el motor de búsquedas Shodan que cita el experto.
ATAQUES CIBERNÉTICOS EN MÉXICO
Un informe de la empresa de tecnología Mer Group estima que 1.5 millones de mexicanos son afectados por ciberataques a diario, lo que genera pérdidas de hasta 110 mil millones de dólares.
El documento, difundido en abril pasado, la compañía explicó que en el caso de México, se reportó que 49 por ciento de los responsables de ataques cibernéticos son empleados de menor rango, después se encuentran los ex-colaboradores, con 37 por ciento, y finalmente los proveedores, con 34 por ciento.
Indicó que un ataque cibernético le cuesta a las empresas mexicanas poco más de 500 mil dólares; mientras que, a nivel mundial, estos delitos tienen un valor para la economía de 445 mil millones de dólares.
Con la apertura del sistema financiero a las nuevas tecnologías, a través de la banca por Internet y la banca móvil, los delitos cibernéticos como la usurpación o el robo de identidad han tenido un incremento notable y hoy México es el octavo país con mayor crecimiento en estos ilícitos, según el Banco de México (Banxico).
Apenas en abril pasado, tres bancos, una casa de bolsa y una caja de ahorro fueron víctimas de un robo por cerca de 300 millones de pesos.
El Banco de México precisó que el pasado 17 de abril un participante del Sistema de Pagos Electrónicos Interbancarios (SPEI) registró un ataque cibernético y posteriormente se identificaron cuatro eventos más, dos el 24 de abril, uno el 26 de abril y uno más el 8 de mayo.
Ante ello, las autoridades financieras de México han tenido que tomar acciones para frenar esta problemática, y una de las alternativas es usar, precisamente, la tecnología, con la aplicación de sistemas de seguridad biométricos.
De acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), al primer trimestre de este 2018, se registraron 18 mil 748 reclamaciones iniciadas por posible robo de identidad, por un monto de 747 millones de pesos.
En 2017 se registraron 78 mil 989 reclamaciones por posible robo de identidad, y aunque sólo significó un incremento del 1 por ciento respecto a un año anterior, si se hace el comparativo respecto al 2015, cuando se registraron alrededor de 50 mil casos, el aumento ha sido del 57.97 por ciento.