Datos de más de 5.000 pacientes fueron copiados desde los sistemas del
Washington Medical Center, el mayor hospital universitario de Seattle.
Un hecho que hubiera pasado desapercibido de no ser por el aviso del
intruso a determinados foros de seguridad. ¿Se trata de un caso
aislado? ¿Son adecuadas las medidas adoptadas por los centros
sanitarios? ¿Está nuestra historia clínica al alcance de cualquiera?
El intruso, apodado “Kane”, aprovechó algunas vulnerabilidades en el
servidor del departamento de patología del hospital para realizar
su primera incursión. Una vez dentro de este servidor, instaló
“sniffers” para escuchar el tráfico de la red y conseguir así los
nombres de usuarios y contraseñas del personal del hospital. Gracias
a estas credenciales pudo acceder a miles de ficheros en los
departamentos de cardiología y rehabilitación.
Según fuentes del propio hospital, se tuvieron sospechas de la
intrusión a finales del verano pasado, pero se desconocía el alcance
real del incidente. El anuncio de “Kane” a determinados foros de
seguridad, entre ellos SecurityFocus, y el envío de algunos ficheros
sensibles como muestra de lo ocurrido, terminó por alertar a los
responsables del hospital que denunciaron el hecho al FBI.
En estos momentos todo sigue su cauce previsible: el hospital resta
importancia al hecho, argumentando que tan sólo estuvieron expuestos
datos administrativos y estudios de investigación, no así la
historia clínica de sus pacientes. Desde los foros de seguridad se
habla de la ética hacker y de que la única intención de “Kane” era
avisar de las vulnerabilidades descubiertas, y en ningún caso dañar
el sistema o aprovecharse de la información obtenida. Por último,
el FBI intenta encontrar el origen de la intrusión, que según los
primeros indicios apuntan a Europa.
¿Se trata de un caso aislado?
No, este mismo caso es un ejemplo claro de que la mayoría de las
incursiones con éxito pasan desapercibidas para las víctimas, a no
ser que el atacante sea tosco en sus acciones y/o haga alardes
posteriores. Por cada intrusión de la que se hacen eco los medios
de comunicación existen cientos que pasan desapercibidas para las
víctimas, y este mismo número se multiplica aun más para contar
los casos que no trascienden a la opinión pública por los propios
intereses de los afectados.
¿Son adecuadas las medidas adoptadas por los centros sanitarios?
No, en general. Miremos a nuestro entorno más cercano, hospitales y
centros de atención primaria en España, podremos ver que la seguridad
brilla por su ausencia en muchos casos. Servidores web con
vulnerabilidades, servidores departamentales independiente conectados
a las redes locales y con acceso desde Internet, almacenamiento de
los datos sensibles en bases de datos estándar con sistemas de
protección propietarios, y débiles, que sólo contemplan la seguridad
a nivel de acceso o en las aplicaciones. No se aplica la criptografía
“seria” en el almacenamiento ni en las comunicaciones de los datos
sensibles, escasa formación al usuario en materia de seguridad,
intrusismo profesional en el personal responsable de los departamentos
de informática (médicos frente a informáticos), escasez de recursos,
y descentralización en las políticas de seguridad.
¿Está nuestra historia clínica al alcance de cualquiera?
Si nos basamos en el párrafo anterior, la respuesta no puede ser
optimista. Tampoco sería justo, ni real, decir que las historias
clínicas están accesibles desde Internet por “cualquiera”. Podemos
dejar la respuesta en tablas: el nivel de seguridad ofrecido por
las instituciones y centros sanitarios es bastante heterogéneo,
y en casos concretos es factible que un atacante llegue a obtener
información sensible de los pacientes a través de Internet. Esto
no debe suponer una alarma generalizada, sino un toque de atención
que sirva para replantearse la puesta en práctica real de los
medios que velen por la seguridad de nuestros datos más sensibles,
al fin y al cabo un derecho público amparado por ley.
bernardo@hispasec.com
Más información:
Hospital confirms copying of patient files by hacker
http://www.idg.net/crd_hospital_316005_102.html
Deja un comentario