La compañía tecnológica en el ramo de la salud Hova Health expuso la información médica de más de 2 millones de personas, confirmó su director y fundador, Alexis Nickin, al periódico especializado El Economista.
“Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada la base de datos”, comentó Nickin, sobre la exposición de expedientes médicos del sistema público de salud de Michoacán.
De acuerdo con el experto de seguridad informática, Bob Diachenko, la información médica de los 2, 373,764 pacientes mexicanos se encontraba sin ninguna restricción en internet, publicó dicho especialista en su cuenta personal de Linkedin. Los datos de los pacientes incluían: nombre completo, fecha de nacimiento y el género de los pacientes, CURP, dirección postal, número de su póliza de seguro y la fecha de expiración. El analista en materia de seguridad informática también publicó en su cuenta personal que se expusieron datos sensibles, como el estado de salud de los pacientes y su origen étnico o racial. Te puede interesar: Facebook niega haber compartido datos de usuarios a fabricantes
“Nosotros desde el viernes tuvimos conocimiento del tema y el fin de semana estuvimos migrando las bases de datos a otra plataforma y junto con nuestro almacenador, que es Google, estuvimos haciendo revisiones a las bases de datos. La base de datos que quedó expuesta está cerrada completamente, ya no existe la dirección del servidor”, afirmó Nickin en conversación telefónica con diario de divulgación especializdo.

Perfil de Bob Diachenko en Linkedin donde señala la exposición de datos.

Hova Health figura en la lista de proveedores de equipo médico y servicios de software del gobierno de Michoacán; según Nickin, el contrato con dicha entidad ya concluyó, pero por obligaciones contractuales la base de datos que estuvo expuesta debe ser resguardada por la compañía durante cinco años. De acuerdo con lo publicado por Diachenko, el 3 de agosto descubrió que la información personal de “2 millones 373,764 pacientes de México está públicamente disponible a través de una instancia de MongoDB mal configurada”.

Datos expuestos por parte de Hova Health

Hova Health es una compañía mexicana del sector salud con especialidades en telemedicina y desarrollo de software. Los datos personales sensibles, de acuerdo con el régimen de protección de datos en México, son aquellos que afectan “a la esfera más íntima” de sus titulares y cuya utilización indebida puede “dar origen a discriminación o a riesgos graves”. La base de datos MongoDB en la que se encontraba la información fue descubierta por Diachenko debido a que había sido indexada por el buscador de dispositivos IoT Shodan y “era visible, accesible y editable sin necesidad de una contraseña para cualquiera con acceso a internet en el mundo”. Las listas de datos estaban almacenadas en la colección llamada “efimed_mich_8020”, un tipo de archivo vinculado con el Sistema de Registro en Salud del Gobierno de Michoacán. Te puede interesar: ¡Cuidado con defraudadores y el robo de identidad! De acuerdo con información del Comité de Adquisiciones del Poder Ejecutivo de Michoacán, Hova Health S.A. de C.V. ha sido proveedor (número P-0649/2017) de equipo médico, bajo las claves, 3.3.9.01 Subcontratación de servicios con terceros; 3.3.9.03, Otros servicios profesionales, científicos y técnico integrales; 3.5.4.01, Instalación, reparación y mantenimiento de equipo e instrumental médico y de laboratorio; 5.3.1.01, equipo médico y de laboratorio y 5.9.1.01, Software. Adán García, asesor de la Coordinación General de Comunicación Social (CGCS) del gobierno del estado de Michoacán, dijo a El Economista que el gobierno del estado está revisando la información sobre la exposición de los expedientes clínicos de los pacientes del sector salud michoacano para fijar una posición al respecto. Hova Health también está incluida en la base de datos del portal de contrataciones públicas Compranet como una Sociedad Anónima de Capital Variable que ha sido proveedora del estado de Jalisco. La base de datos expuesta, según Diachenko, también contenía contraseñas de cuentas de administración y correos electrónicos. Según el investigador, no se tiene claro desde cuándo estuvo expuesta la base de datos y si él fue la única persona que tuvo acceso a ella.
“Esta es otra advertencia para cualquier compañía o proveedor de servicios que maneje y almacene datos médicos personales. Los expertos en seguridad advierten que no solo deben auditar sus procesos de seguridad con regularidad, sino que también deben tener un proceso de respuesta ante incidentes en caso de una fuga de datos. Con la ola de ataques ransomware en hospitales y proveedores médicos, está claro que el sector de la salud está siendo blanco de los ciberdelincuentes”, escribió Diachenko.
Con información de El Economista LP