Se descubrieron más de 45 millones de archivos de imágenes médicas, incluidas radiografías y tomografías computarizadas, en servidores desprotegidos y accesibles para que cualquiera pueda verlos.
El descubrimiento de los datos filtrados de hospitales y centros médicos de todo el mundo fue el resultado de una investigación de seis meses por parte del equipo de investigación de CybelAngel, en dispositivos NAS (Network-attached storage) y en DICOM, acrónimo en inglés de Digital Imaging and Communication in Medicine. La investigación descubrió millones de imágenes únicas almacenadas en más de 2,140 servidores desprotegidos ubicados en 67 países diferentes.
Sin embargo, si esto no era suficiente, algunas imágenes incluían docenas de líneas de metadatos por registro que revelaban información de identificación personal (PII), como nombres, fechas de nacimiento, direcciones e información médica personal que indican altura, peso e incluso el diagnóstico del paciente.
Lectura relacionada: Hospitales: uno de los principales blancos de ciberataques
La suma de todos estos datos podría permitir a actores malintencionados construir un retrato completo de sus potenciales objetivos. Esto podría llevar a que los pacientes afectados se conviertan en víctimas de robo de identidad, ataques de phishing, extorsión, fraude financiero, y otras formas de ataque que generalmente también utilizan ingeniería social. Asimismo, los ciberdelincuentes también pueden elegir otra alternativa y vender los datos en la dark web.
“Este es un descubrimiento preocupante y demuestra la importancia de que se implementen procesos de seguridad más estrictos para proteger cómo los profesionales de la salud comparten y almacenan datos médicos confidenciales. Un equilibrio entre seguridad y accesibilidad es imperativo para evitar que las fugas se conviertan en una importante brecha de datos”, dijo David Sygula, analista senior en ciberseguridad de Cybel Angel.
Por otra parte, dado que algunas de las instituciones médicas afectadas están ubicadas en la Unión Europea (UE), están sujetas al Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE, lo que significa que la falta de seguridad de los datos confidenciales de los pacientes podría dar lugar a sanciones y acciones legales.
Lamentablemente, las bases de datos mal configuradas y expuestas a Internet son bastante recurrentes.
Lectura relacionada: La mala gestión de los datos por parte de las empresas y sus consecuencias