Se filtra información médica de millones de mexicanos

El investigador Bob Diachenko nos habla sobre esta información

Se filtra información médica de millones de mexicanos

El investigador Bob Diachenko nos habla sobre esta información

La información médica de más de dos millones de mexicanos ha sido expuesta en Internet. Los datos incluyen nombres, sexo, fechas de nacimiento, direcciones y estados de salud de pacientes, reveló una base de datos que fue descubierta por el investigador de seguridad informática Bob Diachenko.

De acuerdo con Bleeping Computer, un sitio de soporte técnico de noticias sobre tecnología, guías de seguridad y tutoriales, la base de datos de MongoDB fue descubierta por Diachenko a través de Shodan, un motor de búsqueda para todos los dispositivos conectados a Internet y no solo para los servidores web.

El investigador informó en su cuenta de Twitter que los diagnósticos de los pacientes mexicanos también incluyen las recetas médicas de más de 100 mil de personas.

Los datos incluyeron campos tales como:

Nombre completo y sexo
Número de CURP (es decir, número de código de identificación personal, un código de identidad único para ciudadanos y residentes de México)
Número de póliza de seguro y su fecha de vencimiento
Fecha de nacimiento
Dirección de casa
Indicadores de discapacidad y estado migratorio

El investigador detalló que la base de datos se expuso completamente a Internet y cualquiera puede acceder y editar la información sin una contraseña.

Al analizar el contenido de la base de datos, el investigador identificó como el supuesto propietario de la información a la empresa Hova Health, una compañía de telemedicina centrada en dos áreas principales: telemedicina (teleradiología – telesalud) y desarrollo de software para el sector de la salud.

Aquí los correos que tenían los dominios de hovahealth.com y efimed.care difundidos por el investigador:

Se filtra información médica de millones de mexicanos

La base de datos también contenía contraseñas para cuentas de administrador y correos electrónicos, por lo que se podía notificar rápidamente a las personas responsables y tener un conjunto de datos asegurado.

Diachenko recibió la siguiente respuesta por correo electrónico de los administradores:

“Todas las áreas que trabajan en este proyecto están revisando exactamente lo que sucedió y revisando toda nuestra infraestructura para evitar este tipo de eventos”.

Curiosamente, destacó el investigador, “toda la información de los pacientes que revisé estaba relacionada con el estado de Michoacán”.

A pesar de que las entradas de la base de datos daban fe de qué personas la administraban, ellas nunca confirmaron que dicha información era de su propiedad. En este sentido, Diachenko consideró que no se sabe con exactitud a quién pertenecen estos datos.

El investigador destacó que los problemas con MongoDB se conocen desde marzo de 2013 y a pesar de que la compañía ha actualizado su software con los valores predeterminados de seguridad y ha publicado las pautas de seguridad, estas bases de datos no seguras todavía y están ampliamente disponibles en Internet. “Casi 54 mil bases de datos está disponibles ahora”, según el motor de búsquedas Shodan que cita el experto.