• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Intrusión en los sistemas de un hospital

Intrusión en los sistemas de un hospital

17 diciembre, 2000 Por Hispasec Deja un comentario

Datos de más de 5.000 pacientes fueron copiados desde los sistemas del
Washington Medical Center, el mayor hospital universitario de Seattle.
Un hecho que hubiera pasado desapercibido de no ser por el aviso del
intruso a determinados foros de seguridad. ¿Se trata de un caso
aislado? ¿Son adecuadas las medidas adoptadas por los centros
sanitarios? ¿Está nuestra historia clínica al alcance de cualquiera?
El intruso, apodado «Kane», aprovechó algunas vulnerabilidades en el
servidor del departamento de patología del hospital para realizar
su primera incursión. Una vez dentro de este servidor, instaló
«sniffers» para escuchar el tráfico de la red y conseguir así los
nombres de usuarios y contraseñas del personal del hospital. Gracias
a estas credenciales pudo acceder a miles de ficheros en los
departamentos de cardiología y rehabilitación.

Según fuentes del propio hospital, se tuvieron sospechas de la
intrusión a finales del verano pasado, pero se desconocía el alcance
real del incidente. El anuncio de «Kane» a determinados foros de
seguridad, entre ellos SecurityFocus, y el envío de algunos ficheros
sensibles como muestra de lo ocurrido, terminó por alertar a los
responsables del hospital que denunciaron el hecho al FBI.

En estos momentos todo sigue su cauce previsible: el hospital resta
importancia al hecho, argumentando que tan sólo estuvieron expuestos
datos administrativos y estudios de investigación, no así la
historia clínica de sus pacientes. Desde los foros de seguridad se
habla de la ética hacker y de que la única intención de «Kane» era
avisar de las vulnerabilidades descubiertas, y en ningún caso dañar
el sistema o aprovecharse de la información obtenida. Por último,
el FBI intenta encontrar el origen de la intrusión, que según los
primeros indicios apuntan a Europa.

¿Se trata de un caso aislado?

No, este mismo caso es un ejemplo claro de que la mayoría de las
incursiones con éxito pasan desapercibidas para las víctimas, a no
ser que el atacante sea tosco en sus acciones y/o haga alardes
posteriores. Por cada intrusión de la que se hacen eco los medios
de comunicación existen cientos que pasan desapercibidas para las
víctimas, y este mismo número se multiplica aun más para contar
los casos que no trascienden a la opinión pública por los propios
intereses de los afectados.

¿Son adecuadas las medidas adoptadas por los centros sanitarios?

No, en general. Miremos a nuestro entorno más cercano, hospitales y
centros de atención primaria en España, podremos ver que la seguridad
brilla por su ausencia en muchos casos. Servidores web con
vulnerabilidades, servidores departamentales independiente conectados
a las redes locales y con acceso desde Internet, almacenamiento de
los datos sensibles en bases de datos estándar con sistemas de
protección propietarios, y débiles, que sólo contemplan la seguridad
a nivel de acceso o en las aplicaciones. No se aplica la criptografía
«seria» en el almacenamiento ni en las comunicaciones de los datos
sensibles, escasa formación al usuario en materia de seguridad,
intrusismo profesional en el personal responsable de los departamentos
de informática (médicos frente a informáticos), escasez de recursos,
y descentralización en las políticas de seguridad.

¿Está nuestra historia clínica al alcance de cualquiera?

Si nos basamos en el párrafo anterior, la respuesta no puede ser
optimista. Tampoco sería justo, ni real, decir que las historias
clínicas están accesibles desde Internet por «cualquiera». Podemos
dejar la respuesta en tablas: el nivel de seguridad ofrecido por
las instituciones y centros sanitarios es bastante heterogéneo,
y en casos concretos es factible que un atacante llegue a obtener
información sensible de los pacientes a través de Internet. Esto
no debe suponer una alarma generalizada, sino un toque de atención
que sirva para replantearse la puesta en práctica real de los
medios que velen por la seguridad de nuestros datos más sensibles,
al fin y al cabo un derecho público amparado por ley.

Bernardo Quintero
bernardo@hispasec.com

Más información:

Hospital confirms copying of patient files by hacker
http://www.idg.net/crd_hospital_316005_102.html

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR