Información personal de 2,373,764 pacientes mexicanos que forman parte de una base de datos de una compañía de telemedicina están disponibles de forma pública como consecuencia de la mala configuración de una base de datos MongoDB. Así lo demostró, a través de la red social LinkedIn, el experto en ciberseguridad, Bob Diachenko, en un artículo en el que describió su hallazgo.
Según el especialista, la información expuesta contiene nombre completo, edad, número de CURP, número de póliza de seguro y fecha de expiración, fecha de nacimiento, y dirección del domicilio.
La información la descubrió a través de Shodan, el motor de búsqueda para dispositivos conectados a través de Internet. Según explica Diachenko, la base de datos fue indexada por este motor de búsqueda y estaba accesible para cualquier persona sin ningún tipo de restricción.
Luego de analizar la información, Diachenko llegó a la conclusión de que el propietario de la base era una compañía llamada Hova Health, que según Bleeping Computer es una empresa de tecnología ubicada fuera de México que trabaja con el sector de la salud. Por otra parte, el otro nombre que figura (efimed.care) pertenece al Sistema de Registro de Salud de un estado de México.
Como en la base de datos figuraban correos de administradores (además de contraseñas hasheadas criptográficamente), Diachenko se comunicó vía correo electrónico para notificar su hallazgo y recibió como respuesta que estaban analizando qué fue lo que sucedió y que estaban revisando toda la infraestructura para evitar este tipo de eventos. Al cabo de unas horas, la base de datos fue asegurada.
Igualmente, a partir de la información expuesta por el especialista no queda claro quién fue el último propietario de la base de datos y durante cuánto tiempo estuvo la información sin ningún tipo de protección.
Los problemas con las bases de datos MongoDB no son de ahora. A lo largo de los últimos años han habido varios casos de extorsión dado que atacantes se aprovecharon de usuarios que utilizaron este tipo de bases de datos que eran públicamente accesibles si dejaban la configuración por defecto. Pero en septiembre de 2017, luego de implementar una serie de actualizaciones, MongoDB compartió los lineamientos acerca de cómo configurar la información para que protegerla de ataques maliciosos que quieran robar los datos.
En México, pocas organizaciones toman medidas preventivas para evitar la fuga de datos
En términos de incidentes, según el ESET Security Report, el último año al menos tres de cada cinco empresas en la región sufrieron por lo menos un incidente de seguridad. En el caso específico de México, el 14,5% sufrió un acceso indebido a aplicaciones o bases de datos durante el 2017 y apenas poco más del 10% de las organizaciones lleva adelante alguna medida de control para evitar ser víctima de este tipo de incidentes.