El equipo de investigación de Cybernews ha encontrado una instancia de Kibana, una herramienta para la monitorización de datos, mal configurada.
Esta vulnerabilidad habría dejado al descubierto un enorme volumen de información de pacientes. La base de datos filtrada contenía 500 GB de datos confidenciales, afectando a 5,3 millones de personas en todo México, lo que supondría el 4% de la población del país norteamericano.
Así, se habrían expuesto datos de nombres, etnias, nacionalidades, religiones, grupos sanguíneos, fechas de nacimiento, géneros, números de teléfono, direcciones de email, Clave Única de Registro de Población (CURP), cantidades cobradas por servicios de atención médica, hospitales visitados y descripciones de las solicitudes de pago.
Los investigadores creen que la responsabilidad de la instancia abierta pertenece a eCaresoft, una firma de software con sede en Texas que ha desarrollado y operado dos sistemas de información hospitalaria basados en la nube, Cirrus y Anytime.
Dichas plataformas son usadas por las instituciones sanitarias para gestionar diversos aspectos del trabajo sanitario, como la gestión de inventarios y medicamentos, la reserva de citas médicas, la sincronización de la información entre departamentos y el mantenimiento de los registros sanitarios de cada paciente.
Más de 30.000 médicos, 65 hospitales y 110 centros de atención ambulatoria usan la plataforma.
Lo más preocupante de la filtración
"Los números filtrados de CURP son motivo de especial preocupación. CURP es un número de identificación proporcionado por el gobierno mexicano a los ciudadanos y residentes mexicanos. Tiene un propósito similar al número de Seguro Social en los EE. UU", explican desde Cybernews.
"Un número de CURP podría ser explotado para el robo de identidad y el fraude en manos de actores de amenazas. Desde obtener acceso a más información confidencial hasta hacerse pasar por una persona para abrir cuentas bancarias, bastantes actividades ilegales pueden poner en riesgo a las víctimas", añaden.
Todos estos datos son susceptibles de ser vendidos en la dark web, donde pueden utilizarse para una amplia gama de actividades fraudulentas o esquemas de chantaje. Además, dichos detalles podrían servir para ataques de phising por email y vishing haciéndose pasar por instituciones de atención médica.