17 jun. 2021

Sitio argentino publica(ba) datos de PCR de ciudadanos (o matemos al mensajero)

Esto es lo que sucede cuando decides publicar un problema de seguridad en Argentina: el mensajero es el culpable.

En el día de hoy publiqué un un twit denunciando públicamente cómo se tratan los datos personales y de salud en la República Argentina y, en este caso en particular, en la provincia de Entre Ríos. Estos datos, que son los más sensibles y los que en teoría deberían tener mayor protección, están expuestos. (Lo de "desesperado" fue una exageración para que llegue más rápido a los responsables.)

El incidente comenzó cuando un lector (gracias Walter!!) me informó que un enlace a un sitio .com.ar (no gubernamental) estaba siendo enviado por Whatsapp a los pacientes que se realizan PCR en los hospitales públicos de la zona. El mensaje que llega al paciente es el siguiente:

Como se puede ver, el enlace apunta a un archivo PDF dentro del directorio "/constancias" del sitio mencionado. Este proceso se realiza desde hace tiempo y desconozco desde cuándo los datos han estado expuestos. Al momento de encontrar el directorio había más de 20.000 archivos PDF almacenados:

El proceso es el siguiente:

  • Alguien del Estado, del Ministerio de Salud o desconozco quién, contrata a un profesional particular que brinda el alojamiento en el sitio web mencionado, el cual se encuentra alojado en DonWeb.
  • En ese sitio se almacenan todos los estudios PCR en formato PDF y sin autenticación de ningún tipo.
  • El paciente va al hospital y se realiza su PCR.
  • El paciente recibe el resultado (+/-) vía Whatsapp con un enlace de descarga directa a su informe.
  • El PDF tiene todos los datos personales y de salud del paciente

El inconveniente aparece cuando el dueño del sitio olvida proteger el directorio "/constancias" y permite el listado abierto de todos los archivos PDF. Cualquiera que acceda al directorio abierto, sin autenticación previa, puede acceder a todos los resultados.

Al llamar directamente a su teléfono personal, el dueño del sitio .com.ar procedió a bloquear la navegación de directorio inmediatamente (¡gracias!), aunque eliminar el listado de directorios no soluciona el problema definitivamente. Luego, al reportar el problema de forma personal a un directivo de @DonWebOficial (¡gracias!), el sitio fue bloqueado temporalmente y luego los archivos sí fueron eliminados por el dueño del sitio.

Por el twit, decenas de personas se pusieron en contacto y rápidamente el CERT de Argentina también lo hizo para confirmar que el sitio había sido bloqueado.

Es importante remarcar que el sitio SISA, este sí dependiente del Ministerio de Salud, también tiene los mismos datos y los mismos archivos PDF alojados en su sitio web y los mismos también son accesibles, mediante otro procedimiento. Esto también fue reportado al CERT.

Al margen del problema técnico ya solventado y que, literalmente lleva 30 segundos solucionar, surgen los siguientes planteamientos:

  • ¿Por qué un profesional particular es contratado por el Estado para realizar el hosting de datos sensibles? Incluso, surge la posibilidad de que dicha persona brinde este servicio "de onda", por buena predisposición o simplemente porque "tenía un servidor a mano". De acuerdo a la Ley, esta persona no es el responsable de datos, sino un encargado de los mismos.
  • ¿Por qué un sitio .com.ar aloja datos sensibles sin ningún tipo de control previo?
  • ¿Por qué el Estado no controla los datos sensibles publicados?
  • ¿Por qué un particular cualquiera tiene datos de salud en su poder? No importan las buenas intenciones de la persona (que no dudo que las tiene), importa el proceso.
  • ¿Dónde más están alojados esos datos? Hemos podido confirmar al menos dos lugares más que son "mirror" del original.
  • ¿Cuántos sitios similares existen en Argentina?
  • ¿Qué hace el Estado para controlar y protegernos?
  • ¿Qué hace la Agencia de Acceso a la Información Pública (AAIP) para controlar y protegernos?
  • Cuando el Estado contrata un proveedor de servicios privado, en el contrato regula como debe ser el tratamiento de los datos?
  • ¿El estado es diligente al momento de contratar proveedores de servicios?
  • En estos casos, ¿quién es el responsable de datos?
  • ¿Cuál es la responsabilidad del Estado al enviar datos sensibles de salud a través de un canal de comunicación que pertenece a una empresa privada extranjera (Facebook+Whatsapp+Instagram) sospechada decenas de veces de robar y filtrar datos? 

El caso de un sitio que publica datos personales y de salud pasa tan desapercibido en Argentina y "hasta es tan normal", que varios personas afirman que los PCR deberían ser públicos. Este planteo tiene al menos un par de aristas:

  1. Comparto que una estadística de PCR debería ser pública porque es para el bien común y de la ciencia. Incluso podría ser discutible si un dato de "Positivo" / "Negativo" debería ser público, pero NO es discutible que un dato personal como la dirección del paciente, su teléfono personal y sus enfermedades prevalentes sean públicos, simplemente porque no corresponde y porque es Ley en Argentina.
  2. La Ley 25.326 es el mecanismo existente de protección de los datos personales en Argentina, que incluye los datos sensibles y de salud. En particular el art. 9 de la Ley donde señala que "El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado..." y sigue "Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad."

En el twit también aparece la discusión, ridícula a esta altura, de si: (1) esta información debe ser publicada en favor de la ciudadanía; (2) hay que ocultarla, posiblemente beneficiando a algún delincuente que la encuentre o; (3) denunciarla por los canales oficiales.

La respuesta para mí es obvia: primero se debe informar por el canal oficial y luego hacerlo público, porque la gente merece saber cómo se protegen (o no) sus datos. Ese modelo funcionaría en un país de verdad.

Entonces ¿por qué lo publiqué primero y luego lo reporté? La respuesta también es sencilla: la experiencia me enseño que si estos casos se hacen públicos, la gente involucrada (del Estado o privados) actúa más rápido.

Es triste, pero por eso no menos cierto. La desidia y la irresponsabilidad en Argentina son muy grandes. Pero también hay grandes profesionales muy responsables que están desbordados de trabajo y es imposible que puedan estar en todos lados, simplemente no se puede.

Para bien o para mal tengo un canal de publicación con muchos lectores, muchos de ellos profesionales de seguridad y no me cabe duda de que cada post llega y algunos calan hondo, ¿no sería una irresponsabilidad de mi parte no usar ese poder para intentar ayudar?

Sí, siempre existirá el que critica desde el anonimato o en canales privados, para ellos, este post y sigamos matando al mensajero.

Cristian de Segu-Info

Suscríbete a nuestro Boletín

8 comentarios:

  1. No me sorprende nada ya, cuando arrancó la pandemia, el form del Gobierno para solicitar el permiso, tenía una fuga de datos, validaban del lado navegador con solo poner el DNI de cualquier persona, entonces, traía todos los datos sensibles de las personas.

    Excelente post y felicitaciones por tu trabajo.

    ResponderBorrar
  2. Excelente como siempre Cristian! Manejar con seriedad estos temas y darlos a conocer sin temor ni vergüenza es una constante en tu trabajo y me consta que es por pasión a hacer bien las cosas y mostrar donde hay que mejorar para el bien de todos.

    ResponderBorrar
  3. Cristian, vaya mi solidaridad con vos y el apoyo a tu actitud. Siempre fui partidario de la divulgación responsable y en este caso está RECONTRA justificado el “full disclosure”. No haber hecho público este asunto hubiera significado ir en contra de tu ética de trabajo.
    Clarísimo tu post, sobre todo por el esfuerzo de explicar en lenguaje común los alcances de la legislación sobre protección de datos en Argentina. Para muestra vale un botón, y este ejemplo es doloroso por sus consecuencias. Resulta una verdadera paradoja que el Estado como Autoridad de Aplicación de la Ley Habeas Data sea de los primeros en incumplirla, con graves consecuencias para los ciudadanos.
    Del lado de las protecciones y la debida diligencia de los profesionales infosec, hacer las cosas bien implica estar dispuestos a entender cómo funcionan las cosas, aplicar buenas prácticas, involucrar a todas las partes, trabajar en equipo, usar el sentido común (algo cada vez menos visto en este bendito país).
    Algunas personas creen que poner en línea servicios y sistemas "ciberseguros" o dar tratamiento correcto a los datos personales implica trabajar el triple o tener a disposición montañas de dinero. Ese es un mito que debemos erradicar.
    Saludos de un humilde laburante apasionado de la ciberseguridad, un tanto desbordado. :-)

    ResponderBorrar
  4. Excelente acción, Cristian. Hiciste lo que correspondía hacer.

    ResponderBorrar
  5. Muy bien actuado Cristian, es cierto que si no lo haces público y lo informas por privado, después no informan de estos errores o es más los desmienten al ser consultados

    ResponderBorrar
  6. Graciasss! A seguir así con el compromiso que te caracteriza! No estás solo! Esto se hace entre todos.

    ResponderBorrar
  7. Gracias por tu aporte, Cristian. Otro tipo de acciones sólo hubieran afianzado el comportamiento displicente del Estado en estos aspectos.

    ResponderBorrar
  8. Gracias por tu aporte, Cristian.
    Otro tipo de respuesta sólo hubiera afianzado el comportamiento cada vez más displicente del Estado en estas cuestiones.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!