El fantasma más temido: falla informática en el Ministerio de Salud de Chile expuso información confidencial

descarga (2)Una investigación realizada por Ciper reveló que hasta el 4  de marzo, la red informática interna del Minsal estuvo a disposición de los funcionarios que quisieran ingresar a esos archivos, en los que se incluye a cerca de 100 mil personas, más los empleados de los consultorios desde Arica a Magallanes.

Durante un año, una falla en el sistema informático del Ministerio de Salud dejó accesible a cualquier persona la información confidencial de miles de pacientes, entre ellos, personas con VIH, mujeres que pidieron la píldora del día después y procedimientos de aborto.

Según consignó el Centro de Investigación Periodística, son cerca de tres millones de archivos contenidos en las “carpetas compartidas”, con   información sobre personas, funcionarios, exámenes de laboratorio, biopsias, proyectos, programas, sumarios, etc., los que quedaron expuestos.

El proveedor del servicio de internet de salud es la empresa Entel, quienes fueron contratados a través de trato directoen 2013 por la cartera para construir la red y realizar su mantención durante ocho años. Todo por un costo anual de 605.472 UF (valor UF actual), unos $15.576 millones.

Dicha empresa, tiene que velar por la “Prevención de Fuga de Información”, “ofreciendo la opción para definir reglas que permitan analizar los distintos archivos que circulan a través de la red en búsqueda de información confidencial”, especificando tipo de archivo y protocolo a seguir en caso de la detección de una posible fuga. Este compromiso, finalmente no se cumplió, ya que la falla vulneró completamente el llamado Sistema de Seguridad de la Información del Ministerio de Salud y violó las 44 Resoluciones Exentas dictadas con normas específicas para proteger los antecedentes de los pacientes.

Al conocer lo ocurrido, la ministra Carmen Castillo se mostró consternada y ordenó de inmediato a los equipos técnicos del Minsal bloquear los archivos, al tiempo que afirmó que adoptará “todas las medidas técnicas, administrativas y legales” para proteger la información privada de los pacientes.

Qué expresa el informe de Ciper

Según lo publicado en su sitio web, la compañía informa que:

La vulnerabilidad detectada, y ahora corregida, se refiere a las llamadas “carpetas compartidas”, cuyo manejo está regulado en la Resolución 1.157 del 29 de diciembre de 2014. Allí se estableció la Política de control de acceso “a los medios compartidos de información del Minsal” y se aplica a toda la información que se encuentre en carpetas compartidas, bases de datos, sistemas computacionales, servidores y otros medios del ministerio.

Esa resolución ordena que “todos los funcionarios del Minsal, incluso terceros, deberán tener acceso solo a la información que necesiten para el desarrollo legítimo de sus funciones. Las necesidades de acceso para cada persona las determina cada jefatura. También se establece que los derechos de acceso que recibe cada funcionario deben ser revisados al menos cada seis meses y que cualquier intento de acceso no autorizado a los “equipos, carpetas compartidas, sistemas de información, será considerado un incidente grave, por lo que debe reportarse de inmediato”.

Nada de ello se cumplió. Porque lo que CIPER constató es que no se necesitaba ser un experto en computación para ingresar a esa documentación. Cualquier funcionario integrado a la red del Minsal podía acceder a esas carpetas desde el llamado “explorador de archivos” en Windows, Finder en Mac o Nautilus en Linux. La única restricción que existía era la obtención de la IP de un computador, algo así como la dirección de la casa de cada PC. Pero para eso existen programas gratuitos y aplicaciones de celulares que permiten escanear todas las direcciones IP de la red, que en la del Minsal incluye a más de 200 mil dispositivos conectados.

Con las IP identificadas, la persona podía ver en pantalla cuáles computadores están encendidos, seleccionar uno, digitar la IP en la barra del explorador de archivos, y ya tenía ingreso a ese PC y a las carpetas que mantenía compartidas.

Así como CIPER ingresó desde tres lugares distintos de la Región Metropolitana, ese mismo ejercicio se podía realizar desde cualquier punto del país conectado a la red del Minsal. Incluso, había servidores con respaldo de toda la información que contienen computadores de las jefaturas de servicios, mientras que otros tenían compartidos archivos de canciones (MP3), películas (MOV y AVI) y fotografías personales de funcionarios. Y todos ellos sin restricción alguna de acceso.

Más información: http://ciperchile.cl/2016/03/05/grave-falla-en-la-red-del-minsal-dejo-expuesta-informacion-confidencial-de-pacientes/

Etiquetado como:

Clasificado en:América del Sur, Chile, Informática Médica, Sociedad

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Nuestros servicios

A %d blogueros les gusta esto: