Los ciberdelincuentes afirman tener datos de pacientes, tratamientos, expedientes de personal médico e incluso acceder a las credenciales del Hospital Pediátrico Garrahan de la Ciudad de Buenos Aires. La información apareció a mediados de la semana pasada en un foro especializado, en el que los filtradores compran y venden paquetes de información sensible que pueden ser utilizados para múltiples propósitos. delincuente.
“Son varias bases de datos críticas que suman un total de 5 gigabytes y medio de información y algunos 12 millones de registros. El incidente no responde a un ataque de ransomware, sino simplemente a una filtración publicada con fines de marketing y actualmente está valorado en $1,500”, le explicó a Clarín Mauro Eldritch, arquitecto de seguridad informática. Es lo que se conoce entre los ciberataques como Filtración de datos.
La prueba cargada en el foro contiene información sensible: “Según las muestras publicadas por el vendedor, los 12 millones de discos se distribuyen en información de los pacientes y sus tutores legales (DNI, situación laboral, direcciones y teléfonos personales y de trabajo, condiciones médicas, afiliaciones a coberturas médicas), información técnica sobre sus tratamientos médicos y su seguimiento y expedientes del personal médico”, explicó.
Los nombres que aparecen en la muestra concuerdan con el personal de salud que trabajaba o labora en el hospital. Además, existen credenciales de acceso a los sistemas informáticos, es decir, usuarios y contraseñas.
Clarín contactó al Hospital Garrahan, pero la institución no desmintió ni confirmó el hecho.
Se vende el lote con comprobante de información. Foto Mauro Eldritch
A diferencia de los ataques informáticos ocurridos con grandes empresas como Mercado Libre, Globant u Osde, donde los ciberdelincuentes roban información, lo encriptan y pedir un rescate a cambio, la fuga de datos son delitos en los que no hay petición de dinero por parte de la víctima: la información robada se vende en línea al mejor postor.
Así sucedió con el caso Renaper en octubre del año pasado, en el que, a través de un acceso no autorizado, un usuario subió una base de datos con documentos de identidad de 60.000 argentinos.
En el caso del Garrahan, la información comprometería los datos de los menores: “Recordemos que como es un hospital pediátrico muchos de los pacientes son menores de edad. No solo se trata de información sobre los niños y sus familias que están expuestos a la venta, sino también sobre sus condiciones médicas y tratamientos, información que debe ser tratada bajo estándares de confidencialidad”, advirtió Eldritch.
En cuanto a cómo se producen estas filtraciones, existen múltiples puertas de entrada. “Puede haber muchas situaciones que faciliten la filtración, pero todo se resume en eso alguien tenia demasiados privilegios que no debí tener, ni necesitar”, explica.
“Alguien que fuera capaz desde fuera -como ‘usuario visitante’- de consultar el sistema desde un interfaz vulnerable, o que desde adentro tenía acceso para leer todos los logs del sistema, o incluso alguien que internamente los filtró. Las posibilidades en este caso son varias, pero se pueden reducir a algo evitable manejando un principio simple como dar al trabajador de datos el acceso mínimo necesario para su tarea”, dice.
Hospital Garrahan: qué tan grave es la fuga y quiénes son los responsables
Pacientes, médicos, tratamientos: la muestra tiene información sensible. Foto Enrique García Medina
Cuando hay fugas de datos y ataques informáticos, los que están a cargo de proteger la privacidad de las personas deben responder por los incidentes.
“La exfiltración de datos personales que se produce en un Filtración de datos tiene un efecto nocivo absoluto, expansivo e insuperable sobre la seguridad, privacidad y confianza que se debe preservar en el tratamiento de los datos personales”, explica a Clarín Johanna Caterina Faliero, PhD Doctora en Derecho en Protección de Datos Personales.
“Cuando se pierde el almacenamiento físico de datos personales, especialmente cuando se trata de datos sensibles como los datos de salud de las historias clínicas de los pacientes, la criticidad es aún mayor porque son los datos más íntimos y muy personales que posee una persona”, agrega el especialista, quien es Director del Programa de Posgrado de Actualización en Ciberseguridad de la Facultad de Derecho de la UBA.
“Las violaciones de datos se están volviendo más graves en los últimos años. El área de salud es una de las más afectadastienen el mayor costo de fuga por industria y el mayor tiempo promedio para identificar y contener una brecha de datos, por lo que para este sector la información es su mayor activo estratégico y debe invertir en seguridad informática para contener estas contingencias”.
En cuanto a quién debe ser responsable de este tipo de fugas, el artículo 9 de la ley de protección de datos (25.326) define “que el responsable o usuario del fichero de datos deberá adoptar las medidas de índole técnica y organizativa que sean necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado”, recuerda Daniel Monastersky, abogado especializado en delitos informáticos.
Además, recuerda que según la resolución 47/2018 de la Agencia de Acceso a la Información Pública (AAIP), la entidad afectada debe denunciar el incidente: “Una de estas recomendaciones prevé la notificación de incidentes de seguridad a la AAIP junto con enviar un informe que contengacomo mínimo, la naturaleza de la información, la categoría de los datos personales afectados, la identificación de los usuarios afectados y las medidas adoptadas para mitigar la incidencia”.
Algo que, cabe mencionar, casi nunca se hace, ya que las entidades no solo no suelen comunicarlas sino que también las niegan o no hacen declaraciones.
Datos personales en Argentina, en riesgo
Una fuga en Renaper puso en riesgo a 60.000 usuarios el año pasado. Foto Renaper
El caso del Hospital Garrahan se suma a la Larga lista de instituciones dependientes del estado que sufren ciberataques.
No es la primera vez que una dependencia estatal es víctima de un ciberataque. En 2020, la Dirección Nacional de Migraciones sufrió un ciberataque que publicó miles de datos personales de ciudadanos argentinos.
El año pasado, un acceso no autorizado logró extraer datos del Renaper y los vendió en un foro de compra y venta de datos personales. Y en enero de este año, el Senado de la Nación sufrió un ataque ransomware que publicó datos sensibles de trabajadores de la Cámara Alta, proyectos de ley y hasta huellas dactilares de altos funcionarios.
“Argentina está posicionada en un nivel 2 de 5 del Cybersecurity Capability Maturity Model for Nations (CMM) y no atraviesa un buen momento en materia de ciberseguridad, privacidad o protección de datos personales. Bajo este escenario blando en áreas técnicas críticas, un estado sistémico de inacción e inoperancia ante las amenazas y avances que venimos viviendo, como la Filtración de datos eso nos preocupa que ha afectado al Garrahan”, cierra Faliero.
En junio de este año, la Organización de Estados Americanos inició un programa con Argentina para revisar las prácticas de seguridad informática.
El Garrahan será un caso más a tener en cuenta en este desafío que enfrenta el país en cuanto a cómo tratar los datos personales y, además, cómo comunicar este tipo de fallas a la hora de proteger la información sensible de los ciudadanos argentinos.
SL
