La falta de exigencias de ciberseguridad en materia de historia clínica electrónica deja a los usuarios a merced de que ataques informáticos revelen sus datos.
La información de la historia clínica es considerada por ley como un dato sensible, cuyo resguardo es responsabilidad de los centros de salud. Sin embargo, desde su apartamento de la avenida Uruguay, un experto en seguridad informática desempleado no solo logró acceder a todos los registros de la mutualista Círculo Católico, sino que además amenazó con filtrarlos masivamente si no se le depositaba una suma de dinero.
El hacker dijo que había detectado la vulnerabilidad del sistema de esa institución hacía dos años, y aunque lo había reportado ante el Centro de Respuesta de Incidentes de Seguridad Informática del Uruguay (CERTuy), la falla continuaba ahí. Según declaró ante el juzgado penal de 11º turno, a cargo de la jueza Ana De Salterain, el problema consistía en que el sistema "carecía de controles" que evitaran que un usuario de esa mutualista pudiera acceder a la historia clínica de otros pacientes.
El hacker, que fue procesado con prisión como autor responsable de un delito de conocimiento fraudulento de documentos secretos, en concurrencia con un delito de extorsión en grado de tentativa, había reportado anteriormente vulnerabilidad en el Hospital Evangélico y en el Banco de Seguros del Estado, que permitía que personas no autorizadas accedieran a datos sensibles, declaró ante la Justicia, según surge del expediente al que accedió El Observador.
La jueza le preguntó al representante del Círculo Católico si "el servicio de información de seguridad informática (...) era un servicio esencial o no". Ante su respuesta negativa, la magistrada le consultó si es que "dada la información guardada en forma electrónica y lo sensible de esta", no creía que "este tipo de servicio de seguridad informático es positivo para la mutualista". "Creo que sí, que a raíz de este evento nos hemos dado cuenta que sí", respondió el representante de la institución.
El caso dejó en evidencia la vulnerabilidad de la historia clínica electrónica y la falta de preparación de las mutualistas en materia de ciberseguridad. El Ministerio de Salud Pública (MSP) espera que la historia electrónica llegue a todos los usuarios del sistema de salud a partir de 2018.
Sin control de calidad
Las empresas de salud, como todas aquellas que manejan datos sensibles, están obligadas a "adoptar las medidas que resultaren necesarias para garantizar la seguridad y confidencialidad de los datos personales" por la ley 18.331 Protección de Datos Personales y Acción de "Habeas Data". Sin embargo, el Estado uruguayo no realiza controles para determinar cuán resguardadas están esas bases de datos.
El director regional de la empresa de ciberseguridad Security Advisor, Leonardo Berro, dijo a El Observador que mientras que en Estados Unidos –uno de los países más desarrollados en la materia– el gobierno pone exigencias y certifica el nivel de los sistemas de seguridad de las historias clínicas, en Uruguay, eso queda en manos de las decisiones de los directores de los centros de salud.
"(Por parte de las empresas de salud) no hay conciencia, o el nivel de conciencia es limitado, y no hay regulaciones que establezcan las bases para la seguridad de los registros médicos", apuntó Berro.
En el mismo sentido, el director de consultoría de Tilsor, Gustavo Betarte, dijo que debido a que "en Uruguay las organizaciones no han estado fuertemente bajo ataque, no hay una conciencia generalizada". "Los organismos y empresas no están preparadas para defenderse proactivamente (...) La mayoría de nuestros clientes nos contactaron después de haber recibido un ataque", dijo el especialista. Uno de los últimos clientes que se agregó a la lista, según se extrae del expediente judicial, fue el Círculo Católico.
Con el objetivo de conocer el estado de situación del sistema de salud en materia de ciberseguridad, la Agencia del Gobierno Electrónico (Agesic) realizará este año una serie de auditorías, y luego elaborará recomendaciones a las instituciones, dijo a El Observador el director de ciberseguridad de Agesic, Santiago Paz.
Para el director de ciberseguridad Security Advisor, el nivel de riesgo de que empresas de salud sean afectadas por hackers "es alto", porque tienen "información sensible" que puede ser secuestrada para pedir un rescate. Además, podría modificar algún registro, y, por ejemplo, eliminar de una historia médica que determinado paciente es alérgico a un medicamento, con las consecuencias que eso podría tener para su salud.
Según reportó Agesic, en 2016, el CertUy fue informado de 768 incidentes de seguridad informática, 33% más que en 2015. De ese total, 15 fueron catalogados como de gravedad "alta" y seis como "muy alta". La mayor cantidad de registros, según informó el organismo, se debe a la creciente "tendencia mundial de ataques y fraudes cibernéticos".
La extorsión del especialista frustrado
El 1° de febrero sonaron las alarmas en el Círculo Católico. El equipo informático de esa mutualista había detectado que un hacker había logrado ingresar a su servidor Higa, el lugar en el que se guarda la información más sensible de la institución: las historias clínicas de todos sus usuarios.
Miles de nombres y apellidos, acompañados de las enfermedades que padecen, los estudios que se realizaron, todo al alcance de un extraño del que todavía no conocían sus intenciones. Pero las respuestas no tardaron en llegar.
Tres correos con el asunto "publicación con listado de socios de vuestra mutualista con VIH positivo" llegaron a la casilla de correo de la institución y de algunos de sus directores. "Estimados, sus sistemas están comprometidos, hemos copiado todos los registros clínicos de vuestros pacientes y hemos instalado diferentes software maliciosos que podemos activar en cualquier momento para cifrar los sistemas donde almacenan los datos de forma que no puedan acceder a los mismos. Esto no es falso. Si desean que limpiemos el ataque y dejemos todo bajo vuestro control tienen 24 horas para enviar 15 bitcoins a la siguiente dirección".
El hacker había elegido una moneda digital, difícil de rastrear y cuyo valor en el momento del ataque superaba los US$ 1.000 (actualmente 1 bitcoin equivale a US$ 3.547). Si no cumplían con ese pago, entonces, "como primera medida", el atacante distribuiría en "diferentes medios de prensa" un listado de sus afiliados con HIV. Luego, tendrían 24 horas para enviar la cifra de 20 bitcoins, porque "de lo contrario, los usuarios del sistema que tengan un mail registrado, van a recibir historias clínicos de otros afiliados".
La escalada amenazante no parecía detenerse: "Si no cumplieron, a las 48 horas, van a contar con 24 horas, para enviar 30 bitcoins a la misma dirección. Si no lo hacen, crearemos inconsistencias en todos vuestros datos y haremos que sus sistemas no estén disponibles por un buen rato".
Según declaró una de los representantes de la mutualista a la jueza penal de 11º turno Ana de Salterain, en medio de la apertura del corralito mutual la noticia de esta filtración sería catastrófica. No cumplir con las exigencias del hacker bien podría llevar a perder los archivos informáticos de las historias clínicas, o bien quedar paralizados.
"No es inteligente recurrir a la Justicia ante esta situación. Estamos monitoreando todo lo que sucede y si en lugar de intentar salvar a vuestra institución, intentan una salida barata, les saldrá caro", les advertía.
Los directivos decidieron arriesgarse. Se comunicaron primero con el Centro de Respuesta de Incidentes de Seguridad Informática del Uruguay (CERTuy) primero, e hicieron la denuncia policial en la oficina de delitos informáticos. Con orden del juez pudieron encontrar los nombres de los titulares de dos direcciones de IP desde la que se habían producido los ataques.
Uno de ellos fue procesado con prisión como autor responsable de un delito de conocimiento fraudulento de documentos secretos, en concurrencia con un delito de extorsión en grado de tentativa. El otro quedó en libertad. Según dijo ante la Justicia, el ahora procesado nunca pensó cobrar el dinero de la extorsión, sino que con su amenaza esperaba que las autoridades de la salud actuaran sobre una vulnerabilidad que él había denunciado hacía dos años, pero que todavía persistía. Por eso mismo no borró sus rastros y en lugar de enmascarar su IP dejó abierta la posibilidad de ser encontrado.
Es que antes de ser un hacker, había trabajado como experto en seguridad informática, fue encargado de ciberseguridad en el Ministerio de Ganadería y ocupó un cargo similar en ANCAP, según surge del expediente al que accedió El Observador. Ante sus allegados solía decir que nadie reportaba más fallos de seguridad al CERTuy que él.
En el último año quedó desempleado. Cuando se allanó el apartamento en el que vivía, la Policía encontró US$ 1.460, € 8.320 (US$ 9.873), 157 reales (US$ 50) y $ 3.180 pesos uruguayos (US$ 110), además de seis notebooks, cinco celulares, un lector que se utiliza para clonar tarjetas, otro lector de discos duros; un router, 13 discos duros de computadora, 125 plásticos de tarjetas magnéticas originales, un POS de tarjetas magnéticas, 16 pendrives, dos impresoras a color y una guillotina.
Sin contraseña
Durante la investigación fue conducido a la Justicia un hombre cuya IP quedó registrada en el hackeo. El hombre negó su participación en el hecho, probó que se encontraba fuera de su casa cuando se cometió el ilícito, y dijo tener conocimientos "básicos" de informática. ¿Cómo es que su IP apareció en el registro del Círculo Católico? Los investigadores sospechan que el procesado aprovechó que esta persona tenía como contraseña del Wifi su número de teléfono para colgarse a su red, y a través de ella vulneró la seguridad de la mutualista.
