18 sep. 2019

Millones de datos médicos disponibles en Internet

Las imágenes médicas y los datos de salud de millones de estadounidenses, incluidas las radiografías, las resonancias magnéticas y las tomografías computarizadas, están sin protección en Internet y están disponibles para cualquier persona con conocimientos básicos de informática.

Según una investigación realizada por ProPublica y la emisora alemana Bayerischer Rundfunk, Los registros cubren más de 5 millones de pacientes en los EE.UU. y millones más en todo el mundo. En algunos casos, cualquiera podría utilizar programas gratuitos, o simplemente un navegador web para ver las imágenes y los datos privados

Se indentificaron 187 servidores que se utilizan para almacenar y recuperar datos médicos que no estaban protegidos a través de ninguna medida. Los servidores inseguros descubiertos se suman a una creciente lista de sistemas de registros médicos que se han visto comprometidos en los últimos años. A diferencia de algunas de las infracciones de seguridad recientes, en las que los delincuentes eludieron las defensas de la empresa, estos registros a menudo se almacenaban en servidores que carecían de las precauciones de seguridad que hace mucho tiempo se convirtieron en estándar para empresas y agencias gubernamentales.

"Ni siquiera se está hackeando algo, se entra por una puerta abierta", dijo Jackie Singh, investigador de ciberseguridad y director ejecutivo de la consultora Spyglass Security. Algunos proveedores médicos comenzaron a bloquear sus sistemas después de que les contáramos lo que habíamos encontrado.

Nuestra revisión encontró que el alcance de la exposición varía, dependiendo del proveedor de salud y del software que usan. Por ejemplo, el servidor de la compañía estadounidense MobilexUSA mostró los nombres de más de un millón de pacientes, todo escribiendo una simple consulta de datos. También se incluyeron sus fechas de nacimiento, médicos y procedimientos.

Alertado por ProPublica, MobilexUSA reforzó su seguridad la semana pasada. La compañía toma radiografías móviles y brinda servicios de imágenes a hogares de ancianos, hospitales de rehabilitación, agencias de hospicio y prisiones. "Atenuamos rápidamente las posibles vulnerabilidades identificadas por ProPublica e inmediatamente comenzamos una investigación exhaustiva y continua", dijo la compañía matriz de MobilexUSA en un comunicado.

Otro sistema de imágenes, vinculado a un médico en Los Ángeles, permitió a cualquier persona en Internet ver los ecocardiogramas de sus pacientes.
En total, los datos médicos de más de 16 millones de escaneos en todo el mundo estaban disponibles en línea, incluidos nombres, fechas de nacimiento y, en algunos casos, números de la Seguridad Social.

Los expertos dicen que es difícil determinar quién es el culpable de no proteger la privacidad de las imágenes médicas. Según la ley de EE.UU., los proveedores de atención médica y sus socios comerciales son legalmente responsables de garantizar la privacidad de los datos del paciente. Varios expertos dijeron que tal exposición de los datos del paciente podría violar la Ley de Responsabilidad y Portabilidad del Seguro de Salud, o HIPAA, la ley de 1996 que exige que los proveedores de atención médica mantengan la confidencialidad y seguridad de los datos de salud de los estadounidenses.

Aunque ProPublica no encontró evidencia de que los datos de los pacientes se copiaron de estos sistemas y se publicaron en otros lugares, las consecuencias del acceso no autorizado a dicha información podrían ser devastadoras. "Los registros médicos son una de las áreas más importantes para la privacidad porque son muy sensibles. El conocimiento médico se puede usar en su contra de manera maliciosa: para avergonzar a las personas, para chantajear a las personas", dijo Cooper Quintin, investigador de seguridad y tecnólogo superior del personal de Electronic Frontier Foundation, un grupo de derechos digitales. "Esto es tan irresponsable", dijo.

El tema no debería sorprender a los proveedores médicos. Durante años, un experto ha tratado de advertir sobre el manejo casual de los datos personales de salud. Oleg Pianykh, director de análisis médico del departamento de radiología del Hospital General de Massachusetts, dijo que el software de imágenes médicas se ha escrito tradicionalmente con el supuesto de que los sistemas de seguridad informática del cliente protegerían los datos de los pacientes.

Pero a medida que esas redes en hospitales y centros médicos se volvieron más complejas y se conectaron a Internet, la responsabilidad de la seguridad pasó a los administradores de red que asumieron que existían salvaguardas. "De repente, la seguridad médica se ha convertido en un proyecto de bricolaje", escribió Pianykh en un artículo de investigación de 2016 que publicó en una revista médica.

La investigación de ProPublica se basó en los hallazgos de Greenbone Networks, una empresa de seguridad con sede en Alemania que identificó problemas en al menos 52 países en todos los continentes habitados. Dirk Schrader de Greenbone primero compartió su investigación con Bayerischer Rundfunk después de descubrir que los registros de salud de algunos pacientes estaban en riesgo. Los periodistas alemanes luego se acercaron a ProPublica para explorar el alcance de la exposición en los EE.UU.

Schrader encontró cinco servidores en Alemania y 187 en los EE.UU. que pusieron a disposición los registros de los pacientes sin una contraseña. ProPublica y Bayerischer Rundfunk también escanearon direcciones, cuando fue posible, a qué proveedor médico pertenecían.

ProPublica determinó de forma independiente cuántos pacientes podrían verse afectados en Estados Unidos y descubrió que algunos servidores ejecutaban sistemas operativos obsoletos con vulnerabilidades de seguridad conocidas. Schrader dijo que los datos de más de 13.7 millones de exámenes médicos en los EE.UU. estaban disponibles en línea, incluidos más de 400.000 en los que se podían descargar rayos X y otras imágenes.

Fuente: ProPublica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!