Fuga de datos de usuarios parece no importarle al ISSSTE
Varios informes de procedimientos realizados por día en el Instituto de Salud y Seguridad para los Trabajadores del Estado (ISSSTE) fueron indexados por los motores de búsqueda en internet Google, Yahoo y Bing, que son los más utilizados. La información contenida en estos informes se encontraba almacenada sin contraseña u otra medida de seguridad y expuso tablas con datos personales y datos sensibles de los pacientes.
Los documentos contenían nombre completo, sexo y edad de los pacientes, pero sobre todo datos sensibles como el diagnóstico que recibió cada uno y el procedimiento quirúrgico al que fue sometido. También quedaron expuestos datos personales de los médicos que atendieron a estos pacientes.
La dirección electrónica a uno de estos reportes de procedimientos fue dada de baja a las pocas horas de haberse hecho pública en Twitter por un usuario de esa red social el jueves 13 de agosto, pero ese documento y varios más se han mantenido expuestos en la memoria caché de buscadores como Google, Yahoo.com.mx y Bing desde entonces. El usuario eliminó el tuit que contenía el enlace.
La memoria caché es un repositorio en donde se almacenan copias de las páginas web cuando son visitadas por los rastreadores de las plataformas de búsqueda para su indexación.
No parece haber ningún esfuerzo por parte del ISSSTE para eliminar los documentos de la memoria caché de los buscadores. El Economista consultó los días 13, 14 y 18 al equipo de comunicación social del ISSSTE para conocer más detalles sobre este incidente, pero un vocero del instituto negó tener información sobre el tema y tampoco comunicó si se habían tomado medidas de seguridad al respecto.
El Economista pudo verificar la existencia de siete enlaces con un total de 551 perfiles de pacientes del ISSSTE.
Se desconoce cuánto tiempo estos documentos han estado disponibles en internet sin contraseñas ni protecciones. El rastreador del buscador Bing realizó la primera consulta a uno de estos enlaces el 3 de abril de 2020, mientras que la última visita fue realizada el 19 de julio, según datos de esa plataforma propiedad de Microsoft.
Esta exposición de datos sensibles por parte del ISSSTE se suma a otro incidente del mismo tipo protagonizado por la Secretaría de la Función Pública a principios de julio de 2020. Mientras que la Función Pública, que tiene la encomienda de vigilar el actuar de los funcionarios públicos, expone información confidencial; el ISSSTE, que debe proveerles servicios de salud y seguridad social, exhibe su información de salud.
Mala configuración, sin contraseñas
El usuario en Twitter que primero publicó sobre el incidente, conocido como ov3rflow1, se dedica a investigar exposiciones de datos, vulnerabilidades en sistemas y fallas de seguridad informática. El hallazgo de los informes, contó a El Economista, fue resultado de usar los operadores de búsqueda que Google ofrece. Estos comandos, combinados con frases o palabras clave específicas en el área de seguridad de la información, son conocidos como Google dorks.
Este investigador aseguró que los documentos del ISSSTE se indexaron en Google y los otros buscadores debido a una mala configuración del fichero robots.txt, que es el archivo que los rastreadores (Googlebot, Bingbot y Slurp de Yahoo) usan para rastrear y evaluar contenidos indexables. Otra funcionalidad de seguridad no implementada, añadió el investigador, fue que las páginas no estaban protegidas por contraseñas, por lo que su búsqueda, en lugar de arrojar un error 403 de no autorización, arrojó información, en este caso personal y sensible.
“No puedo afirmar si se trata de un descuido por parte del desarrollador o un acto intencional, lo que sí te puedo decir es que esa data era alcanzable por cualquiera que conociera los puntos finales (URL) y que al no estar protegidos por una contraseña o alguna medida de protección, estos quedaban al descubierto”, dijo.
No obstante, ya que el instituto optó por retirar los enlaces, aunque mantuvo los que están alojados en la memoria caché de los buscadores, el investigador cree que esta exposición es producto de un error de configuración que los dejó accesibles al público, cuando no deberían estarlo.
El ISSSTE es la institución de la administración pública federal que brinda seguridad social y servicios de salud a los trabajadores del gobierno federal y de los gobiernos estatales y municipales que han celebrado convenio con él. A diciembre del 2019, el ISSSTE daba servicio a 13 millones 478,872 trabajadores, pensionados y sus familias, y contaba con 103,961 trabajadores, según los datos más recientes del Anuario Estadístico del instituto.
La exposición de estas listas con nombres de pacientes del ISSSTE recuerda a la exhibición de 2.3 millones de datos sensibles de pacientes de la Secretaría de Salud de Michoacán que estaban bajo resguardo de la empresa de administración de expedientes electrónicos Hova Health, en agosto de 2018. En aquel momento, quien se desempeñaba como secretario de Protección de Datos Personales del Inai, Gustavo Parra Noriega, aseguró a El Economista que el de Hova Health pudo ser el caso más grave en su tipo registrado en México. Quizá este incidente en el ISSSTE supere ese récord.