Apenas un día después de que un informe revelara que las imágenes médicas y los datos de salud de millones de pacientes en los Estados Unidos y en el extranjero se encuentran desprotegidos en Internet, otra sonda encontró datos médicos accesibles en línea para 24.3 millones de pacientes en 52 países.
Entre la información vinculada a los registros médicos, descubierta por Greenbone Networks, se encuentran 737 millones de imágenes, de las cuales 400 millones son accesibles o descargables desde Internet. “Todos los sistemas identificados revelaron el nombre del paciente, la fecha de nacimiento, la fecha del examen y alguna información médica sobre la razón del examen”, dijo el informe Greenbone sobre 590 sistemas de archivo de imágenes médicas de los 2.300 sistemas que analizó. “Además, hay 39 sistemas que permiten el acceso a los datos de los pacientes a través de un Visor Web HTTP no encriptado, sin ninguna protección.”
Los investigadores descubrieron innumerables vulnerabilidades, muchas de ellas de varios años de antigüedad, en sistemas auditados. “Estas vulnerabilidades de CVSS 10.0 suelen incluir aplicaciones web y bases de datos vulnerables, que también son objetivos comunes de los hackers”, señala el informe, y señala que los sistemas individuales también muestran indicadores de compromiso.
“Los informes consecutivos deberían empujar a las organizaciones médicas a tener más cuidado con la información confidencial y a evaluar qué es lo que se debe poner en línea. “El hecho de que algo pueda conectarse a Internet no significa necesariamente que deba conectarse a Internet -especialmente cuando se trata de información personal sensible- y más aún cuando aparentemente hay poca o ninguna inversión en controles de seguridad para validar que los datos están protegidos correctamente”, dijo Javvad Malik, defensor de la seguridad en KnowBe4. “Si bien es importante que la información médica de los pacientes esté disponible para los proveedores de atención médica y los hospitales, especialmente en momentos de emergencia, esto no debería traducirse en tener toda la información disponible en todo momento”.
Los controles de seguimiento, dijo, “deben estar en su lugar para asegurar que cualquier historia clínica que se vea, incluso por parte del personal médico, sólo debe hacerse si existe una razón clínica o administrativa válida”.
Aunque el hecho de que los registros estén disponibles públicamente en sí mismos es motivo de preocupación, Malik dijo que era “preocupante” que “parece como si no hubiera un proceso de auditoría interna para validar si el acceso está justificado”.
La mayoría de los registros expuestos incluían los siguientes datos personales y médicos:
Nombre y apellidos
Fecha de nacimiento
Fecha del examen
Ámbito de la investigación
Tipo de procedimiento de imágenes
Médico tratante
Instituto/clínica
Número de imágenes generadas
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian