La empresa mexicana Hova Health dejó expuesta la información médica de más de 2 millones de personas, confirmó a El Economista su director y fundador Alexis Nickin. “Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Nickin, sobre la exposición de expedientes médicos del sistema público de salud de Michoacán.

“La información no fue robada ni hubo fuga de datos. A la base que estuvo expuesta le faltan muchos datos para tener toda la información. No están todos los estudios en servidores, son datos parciales. Nuestros clientes pueden estar seguros de que su información está protegida”, dijo Nickin.

La información médica de 2 millones 373,764 pacientes en México se encontraba a disposición de cualquiera con acceso a internet, reveló el experto en seguridad de la información Bob Diachenko en una publicación en su cuenta en la red social LinkedIn. Los datos expuestos incluyen el nombre completo, la fecha de nacimiento y el género de los pacientes, su CURP, su dirección postal, el número de su póliza de seguro y la fecha de expiración. También reveló la exposición de datos sensibles, como el estado de salud de los pacientes y su origen étnico o racial. 

“Nosotros desde el viernes tuvimos conocimiento del tema y el fin de semana estuvimos migrando las bases de datos a otra plataforma y junto con nuestro almacenador, que es Google, estuvimos haciendo revisiones a las bases de datos. La base de datos que quedó expuesta está cerrada completamente, ya no existe la dirección del servidor”, afirmó Nickin en conversación telefónica con El Economista. Hova Health figura en la lista de proveedores de equipo médico y servicios de software del Gobierno de Michoacán; según Nickin, el contrato con ese gobierno estatal ya concluyó, pero por obligaciones contractuales la base de datos que estuvo expuesta debe ser resguardada por la compañía durante cinco años.

De acuerdo con lo publicado por Diachenko, el 3 de agosto descubrió que la información personal de “2 millones 373,764 pacientes de México está públicamente disponible a través de una instancia de MongoDB mal configurada”. Hova Health es una compañía mexicana del sector salud con especialidades en telemedicina y desarrollo de software.

Los datos personales sensibles, de acuerdo con el régimen de protección de datos en México, son aquellos que afectan “a la esfera más íntima” de sus titulares y cuya utilización indebida puede “dar origen a discriminación o a riesgos graves”. “En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual”, define la fracción VI del artículo 3 de la ley federal de protección de datos personales.

La base de datos MongoDB en la que se encontraba la información fue descubierta por Diachenko debido a que había sido indexada por el buscador de dispositivos IoT Shodan y “era visible, accesible y editable sin necesidad de una contraseña para cualquiera con acceso a internet en el mundo”.   

Las listas de datos estaban almacenadas en la colección llamada “efimed_mich_8020”, un tipo de archivo vinculado con el Sistema de Registro en Salud del Gobierno de Michoacán. De acuerdo con información del Comité de Adquisiciones del Poder Ejecutivo de Michoacán, Hova Health S.A. de C.V. ha sido proveedor (número P-0649/2017) de equipo médico, bajo las claves, 3.3.9.01 Subcontratación de servicios con terceros; 3.3.9.03, Otros servicios profesionales, científicos y técnico integrales; 3.5.4.01,Instalación, reparación y mantenimiento de equipo e instrumental médico y de laboratorio; 5.3.1.01, equipo médico y de laboratorio y 5.9.1.01, Software.

Adán García, asesor de la Coordinación General de Comunicación Social (CGCS) del Gobierno del Estado de Michoacán, dijo a El Economista que el gobierno del estado está revisando la información sobre la exposición de los expedientes clínicos de los pacientes del sector salud michoacano para fijar una posición al respecto.

Hova Health también está incluida en la base de datos del portal de contrataciones públicas Compranet como una Sociedad Anónima de Capital Variable que ha sido proveedora del estado de Jalisco.

La base de datos expuesta, según Diachenko, también contenía contraseñas de cuentas de administración y correos electrónicos. Según el investigador, no se tiene claro desde cuándo estuvo expuesta la base de datos y si él fue la única persona que tuvo acceso a ella.

“Esta es otra advertencia para cualquier compañía o proveedor de servicios que maneje y almacene datos médicos personales. Los expertos en seguridad advierten que no solo deben auditar sus procesos de seguridad con regularidad, sino que también deben tener un proceso de respuesta ante incidentes en caso de una fuga de datos. Con la ola de ataques ransomware en hospitales y proveedores médicos, está claro que el sector de la salud está siendo blanco de los ciberdelincuentes”, escribió Diachenko.

ACTUALIZACIÓN 8/8/2018 22:35 HORAS: Esta versión agrega una nueva declaración de Alexis Nickin en el segundo párrafo, a solicitud del propio Nickin. Aceptamos su solicitud por considerar que no afectaba el contenido original ni ponía en duda la información publicada.

[email protected]