Falla en Minsal Chile dejó expuesta información confidencial de pacientes

Pacientes con VIH, mujeres que pidieron la píldora del día después, enfermos mentales. Todos con nombre, RUT y domicilio estaban disponibles hasta el viernes 4 de marzo en la plataforma computacional del Ministerio de Salud. Cualquiera de sus 100 mil funcionarios, e incluso externos, podían acceder a esa información privada. Se trata de la peor vulneración de la seguridad informática en salud, pues hubo al menos 3 millones de archivos desprotegidos durante meses. Lo grave es que la falla se alertó hace 10 meses. Ni la seguridad del Minsal ni ENTEL, empresa que presta el servicio de la red, actuaron.

El registro consultas queda alojado en la red informática del Ministerio de Salud (Minsal), junto a los nombres y datos personales de todas las mujeres que solicitaron la misma píldora desde 2012 a 2015 en ese establecimiento y en otros a lo largo del país. El registro lleva el nombre de la paciente, su RUT, domicilio, descripción del caso y el medicamento entregado. Son todos antecedentes personales de máxima privacidad, que debieran haber estado encriptados o disponibles solo y rigurosamente para los funcionarios autorizados para consultar esa sensible información.

La red informática interna del Minsal estuvo a disposición de los funcionarios que quisieran ingresar a esos archivos hasta la noche del pasado viernes 4 de marzo. El universo de quienes podían acceder a las llamadas "carpetas compartidas" de la red computacional de Salud, incluye a cerca de 100 mil personas, más los empleados de los consultorios desde Arica a Magallanes.

La organización CIPER (Centro de Investigación Periodística) descubrió esta grave situación y en la tarde del viernes 4 de marzo concurrió al despacho de la ministra de Salud, Carmen Castillo, y le informó de la falla de seguridad que presentaba la red informática de su cartera. Una vulnerabilidad que, tal como lo constató CIPER haciendo pruebas desde tres puntos distintos, incluye que se podía ingresar a esas "carpetas compartidas" desde fuera de los establecimientos de Salud, ya que hay computadores del ministerio y centros de atención que tienen instalados un programa de acceso remoto.

En el mismo despacho de la ministra, CIPER hizo las pruebas que demostraron que la red era vulnerable. La ministra Carmen Castillo se mostró consternada por la situación y ordenó de inmediato a los equipos técnicos del Minsal bloquear los archivos, al tiempo que afirmó que adoptará "todas las medidas técnicas, administrativas y legales" para proteger la información privada de los pacientes.

CIPER se comprometió a esperar que el Minsal pudiera al menos bloquear el acceso a la carpetas compartidas antes de publicar lo ocurrido, para así evitar una entrada masiva a esa información privada y altamente sensible. Lo que sí se nos aseguró fue que al menos las fichas electrónicas de los usuarios –que contienen la información completa de los pacientes- no están comprometidas en esta brecha de seguridad, porque requieren claves para acceder. CIPER cumplió su compromiso y las medidas adoptadas por la ministra Carmen Castillo ya están en ejecución (ver minuta).

En la indagación realizada por CIPER a los accesos que estaban disponibles para los funcionarios del Minsal que quisieran ingresar, pudimos constatar que los datos de las mujeres que pidieron la pastilla del día después no eran los únicos que estaban sin resguardo. Había al menos tres millones de archivos contenidos en las “carpetas compartidas”, con todo tipo de información sobre personas, funcionarios, exámenes de laboratorio, biopsias, proyectos, programas, sumarios, etc.

Actualización 16/03/2016: Entel descarta responsabilidad en la falla de seguridad del sistema informático del Minsal

Fuente: CIPER