Durante 2019 se reportaron frecuentemente incidentes de exposición de información médica debido a bases de datos configuradas incorrectamente. Este 2020 la tendencia parece continuar, pues los investigadores en ciberseguridad de WizCase acaban de reportar tres bases de datos médicas que exponen diversos detalles personales de ciudadanos de múltiples países.
Entre las bases de datos expuestas, se encuentra una operada por una clínica argentina que ha expuesto la información confidencial de miles de pacientes.
Las bases de datos se encontraron durante una investigación en colaboración con algunas compañías médicas. En este proceso, se descubrió que las bases de datos estaban completamente expuestas, pues no contaban con cifrado y no era necesario emplear una contraseña para ingresar. Todas las compañías afectadas han sido notificadas.
Las compañías afectadas, según el más reciente informe de ciberseguridad, son:
- HX Wellness Private Limited (aplicación de farmacia en línea Aermed) – India – Aproximadamente 230 mil registros expuestos, incluyendo datos de pacientes y staff
- Mobile Health Pte Ltd (MaNaDr Mobile Health) – Singapur – Alrededor de 842 mil registros descubiertos, exponiendo detalles de pacientes y médicos
- Instituto Zaldívar – Argentina – Se encontraron cerca de 8 mil 600 registros, con fugas de datos de pacientes oftálmicos
Instituto Zaldívar
Esta clínica oftalmológica con sede en Argentina expuso una base de datos con más de 72 MB de información, equivalente a 8 mil 600 registros, en su mayoría pertenecientes a pacientes de la clínica, incluyendo recetas y datos personales.
HX Wellness Private Limited
Esta firma, con sede en India, expuso una base de datos de 4 GB, equivalente a más de 230 mil registros comprometidos, los cuales incluyen información confidencial de pacientes y staff médico (incluyendo nombres completos, edad, datos de ubicación, email, entre otros datos). Las soluciones empleadas por esta compañía eran de MongoDB y un bucket de Amazon Web Services.
Mobile Health Pte
Establecida en Singapur, esta compañía médica expuso casi 600 MB de información confidencial, equivalente a 842 mil registros, la mayoría pertenecientes a los pacientes, incluyendo diagnósticos, historial clínico, análisis de laboratorio, recetas y datos personales. La firma empleaba un servidor ElasticSearch. En respuesta al reporte, la compañía publicó un comunicado en el que afirman que los datos expuestos pertenecen a una base de datos de pruebas, por lo que no son datos de pacientes reales.
Los incidentes de ciberseguridad que exponen información confidencial son especialmente perjudiciales, por lo que estos informes son esenciales para generar conciencia entre usuarios y compañías.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.