¿Las clínicas de salud privadas protegen los datos de los pacientes conforme al RGPD? En muchos casos puede no ser así
Seguro que la mayoría, además de ir a la Seguridad Social cuando tenemos cualquier problema de salud, hemos ido alguna vez a una mutua o a una clínica de salud privada, ya sea por voluntad propia o porque nos ha obligado una empresa para realizar un reconocimiento médico. Los datos médicos y de salud son los datos más personales que podemos encontrar, y a nadie le gusta que estos puedan circular libremente por ahí. Cuando acudimos a este tipo de clínicas o mutuas esperamos que la seguridad de su infraestructura sea impecable, y nunca nos paramos a pensar que una red de este tipo pueda estar mal programada y pueda estar exponiendo los datos personales de sus pacientes.
A raíz de un hilo de un administrador de sistemas informáticos, Evaristo GZ, nos encontramos con un claro ejemplo de cómo las clínicas de salud privadas pueden no proteger los datos personales de salud como deberían, acorde a como dicta el RGPD.
Evaristo GZ@EvaristoGZEl pasado lunes hice el anual reconocimiento médico laboral, el cual lo hace una empresa externa. Tras unos días, podría consultar los resultados en su página web o su app. He descubierto algunos «fallillos» de seguridad/privacidad que exponen mis datos médicos.
HILO ⤵️ https://t.co/ZhAiHUgjkY01 de abril, 2019 • 14:42
17
4
Los fallos más comunes que cometen las empresas a la hora de proteger los datos de los usuarios
Utilizando el hilo de Twitter anterior como referencia podemos ver cómo la clínica en cuestión (y como ella, probablemente otras muchas que no nos hemos dado cuenta) ni siquiera utiliza a estas alturas una conexión HTTPS, enviando el tráfico en HTTP, sin cifrar, a través de Internet. Aunque se puede forzar la conexión HTTPS, en realidad los propios enlaces de la web reenvían a enlaces HTTP simples.
Por si el uso de protocolos inseguros no fuera suficiente, la gestión de las contraseñas es aún peor. En este caso, por ejemplo, la clínica de salud conocía la contraseña, que debía ser secreta, de este usuario, ya que se había tomado la molestia de actualizarla sustituyendo cada uno de los números de la clave que él mismo configuró el año anterior por su correspondiente símbolo del teclado. Y no solo eso, sino que después de cambiarla otra vez, además de estar truncada a 10 caracteres, estas se guardan sin cifrar en un servidor, ya que por correo devuelven la contraseña que se ha configurado en texto plano. Segunda grave negligencia de seguridad.
La verdad es que, en realidad, la contraseña no sirve para mucho. Tal como explica este administrador de sistemas, tras descargar su PDF (a través de una conexión HTTP, a través de la cual se ha mandado una contraseña sin cifrar, que se ha guardado tal cual en el servidor de la clínica), con la dirección de descarga del PDF se puede acceder al panel personal del paciente sin necesidad de un usuario, una contraseña… absolutamente nada. En la propia URL va un token de acceso que no caduca tras usarlo y que permite a cualquiera que consiga la URL (historial, sniffer, etc) tener acceso a su panel y a todos los historiales médicos del paciente. Si el paciente cierra sesión manualmente y vuelve a entrar el token caduca, pero pasadas 4 horas.
En el siguiente video podemos ver un vídeo donde este administrador de sistemas demuestra la vulnerabilidad, vídeo que, por supuesto, ya ha sido enviado a la AEPD y a Facua.
A las empresas no les gustan los reportes de seguridad… los ignoran o te amenazan con acciones legales
Como buen hacker ético, este administrador de sistemas informó en privado a la clínica con el fin de recibir respuesta sobre esta grave negligencia de seguridad. Tras una semana sin obtener respuesta, finalmente tomó la decisión de denunciar el hecho a la Agencia Española de Protección de Datos y a Facua para ver si así se lo toman en serio.
Tras avisar de nuevo a la clínica de las acciones tomadas, la clínica se puso en contacto con él para informarle de que les había llegado el correo y que se iban a poner a auditar las redes y mejorar la seguridad de toda la plataforma. Una buena respuesta. El problema llegó esa misma tarde, cuando vuelven a llamar a este administrador de sistemas y, entre otros temas, le solicitan que retire el vídeo de YouTube. Tras afirmar que no había ningún problema en ello, la persona interlocutora de la empresa hace mención a que así evitaban tener que pasarle el tema al gabinete jurídico. Esta mención fue interpretada como un comentario de amenaza o presión para la supresión del contenido que aún puede visualizarse en la plataforma de YouTube (vídeo que está oculto, no público, y al que solo se puede acceder por enlace).
Obviamente esta clínica privada no es la única que pone en riesgo los datos de salud de sus pacientes; es más que probable que otras muchas clínicas similares tengan fallos de seguridad parecidos que puedan estar poniendo en peligro la seguridad de los datos médicos de los usuarios.
Esperamos que esto sirva de ejemplo y que, igual que esta clínica, otras muchas revisen la seguridad de sus infraestructuras para garantizar la máxima privacidad de los datos. Al menos, que garanticen que las medidas de seguridad básicas, como el uso de HTTPS, el hash de las contraseñas y los tokens de acceso controlados, funcionan acorde a la ley de protección de datos. Nada nos garantiza que exista una vulnerabilidad que pueda brindar acceso a usuarios no autorizados (aunque para eso están las auditorías externas), pero al menos que se cumplan con los estándares básicos de seguridad y que cumpla la RGPD.