También se tiene acceso a la respuesta secreta para recuperar contraseña, a las incapacidades y al estatus de los documentos de los usuarios.
Se trata de la EPS Cafesalud, que también incluye a los usuarios de la liquidada Saludcoop. En total, unos 6,5 millones de usuarios.
Lo más grave es que no solo se tiene el acceso a la información, sino que esta también se puede modificar, lo que en manos de las personas incorrectas podría llevar al colapso completo del sistema de información, más si la entidad que la maneja no tiene planes ni políticas para el manejo de estos incidentes de seguridad o de mejora permanente a partir de ellos, como parece es el caso de Cafesalud.
Aun siendo grave, el colapso del sistema es la menor de las consecuencias de la falla de seguridad. Lo más grave es la disponibilidad de información sensible de los usuarios que podría ser mal usada por personas inescrupulosas. Imagine lo que podría hacer un delincuente con la información médica de personas, si además tiene toda su información de contacto. ¿Extorsionarlo, por ejemplo?
Pulzo conoció la existencia de la falla de seguridad en el curso de la elaboración de un informe sobre cómo las empresas y entidades colombianas estaban llevando a cabo el registro de sus bases de datos ante la Superintendencia de Industria y Comercio, cuya fecha límite es el 8 de noviembre.
Cafesalud es apenas un ejemplo. Otras EPS son igualmente vulnerables, aunque por caminos diferentes, algo que es fácilmente verificable.
Hay EPS que hemos detectado donde se entra al sitio web y solamente colocando un número de cédula y una dirección de correo electrónico se puede acceder hasta a los resultados de exámenes médicos”, dice Andrés Guzmán Caballero, director de la maestría en Protección de Datos, de la Universidad Sergio Arboleda.
Pulzo comprobó que este es el caso de la página de Compensar.
En la página de Colsánitas, una de las más grandes del país, con la simple información contenida en una fotocopia de la cédula de un usuario se puede realizar el registro en la página, y acceder a información sensible. El sistema (y la EPS y prepagada) asume que si alguien tiene esa información es el titular, por eso no la valida. Pulzo lo comprobó.
Vulnerabilidad escandalosa
Y el sector salud es apenas uno de los vulnerables. Otros sectores, e incluso entidades del Estado, que tienen información personal de los ciudadanos son extremadamente vulnerables.
La conciencia de la importancia de las bases de datos y la necesidad de proteger la información personal allí contenida es tan incipiente en el país que, a pesar de que hay una legislación considerada de las mejores de América Latina, la entidad encargada, la Superintendencia de Industria y Comercio, es muy pasiva: solo actúa cuando hay denuncias o programa visitas con suficiente tiempo de anticipación como para que los responsables ‘arreglen la casa’ y la dejen presentable.
Pero la Superintendencia no está activamente buscando vulnerabilidades de los sistemas, al menos de los más sensibles, como sí lo hacen personas y compañías que se especializan en ello, y que las reportan directamente a los afectados para ofrecer sus servicios de consultoría. Lo que ellos (que se podrían denominar ‘hackers éticos’) conocen, en términos de vulnerabilidad de sistemas, es escandaloso.
Otra de las características de la Superintendencia, al menos hasta ahora, es que confía en la buena fe de quienes manejan las bases de datos y le entregan información sobre ellas.
Al hacer el registro de cualquiera de ellas ante la Superintendencia, por ejemplo, se formulan una serie de preguntas, dentro de las cuales está si se cuenta con una política y procedimientos para manejar incidentes de seguridad de la información personal (como el conocido por Pulzo) y un plan para mejorarla a partir de dichos incidentes. Es obvio que quien hace el registro va a decir que sí.
Probablemente, la Superintendencia no tiene ni la capacidad ni la intención de verificar toda la información suministrada sobre las bases de datos. El número que, teóricamente, tienen que registrarse hasta el 8 de noviembre es monstruosamente grande.
“Solo para el sector comercio, el impacto va a ser mayor que el del ‘monotributo’ incluido en la reforma tributaria, pues cualquiera que tenga un circuito cerrado de televisión debe registrar esa base de datos y, si tiene sucursales, debe haber un registro por cada una de ellas, porque contienen datos biométricos. La obligación no solo incluye el registro de la base de datos, también la colocación de avisos en los locales informando que está grabando, el establecimiento de controles de seguridad de la información en cada una de ellas”, dice Guzmán Caballero.
La vulnerabilidad de Cafesalud
A propósito de estas preguntas, Cafesalud, seguramente, le va a decir a la Superintendencia que tiene planes de manejo de incidentes de seguridad y plan para mejorarla a partir de la ocurrencia de los mismos, a pesar de que la evidencia muestra lo contrario.
Prueba de ello es que Pulzo conoció que estas fallas en la seguridad de la información fueron detectadas y reportadas, al menos, desde enero de 2016 a la firma HEON, que diseñó el sistema, pero no fueron corregidas.
En un correo dirigido a un empleado de HEON, su autor, un experto en seguridad informática (que está en el grupo de los que ya hemos llamado ‘hackers éticos’), le describió el acceso irregular que se podía tener al estatus de la documentación de usuarios, las incapacidades y, lo más grave, a los exámenes de laboratorio.
El autor del correo, Richard Oliveros, confirmó a Pulzo su autenticidad, y llamó la atención sobre el aspecto más relevante en lo que decía: toda esta información del usuario podía ser vista solo a partir de su número de cédula, por cualquier otro usuario que tenga acceso a la plataforma o alguien que lo consiga por sus debilidades. Oliveros hizo las pruebas con la autorización de sus familiares, que están afiliados a la misma EPS.
Pulzo consiguió usuarios y, con su autorización, hizo el experimento y tuvo acceso a su información confidencial, que fue verificada por ellos mismos.
El acceso es tan aberrantemente simple que Pulzo se abstiene de presentar los videos con la secuencia de pasos para evitar que sean replicados, pero los conserva como prueba.
“Los instrumentos y la metodología usada para brindar seguridad a los afiliados a Cafesalud son ineficientes: mis datos, que deberían ser confidenciales, están a la vista de cualquier persona. ¿Dónde queda mi derecho a la privacidad? ¿Cómo va a mitigar la EPS las consecuencias de esta filtración de datos? Me siento vulnerable ante tal hecho, mi historia clínica es pública”, dijo María Claudia Bejarano, una de las personas que participó en la prueba.
Otra usuaria, al comprobar la facilidad con que se obtuvo su información, llamó la atención sobre el contraste para conseguirla de manera presencial:
Si es tan fácil que cualquier persona acceda a mis datos de salud, no entiendo por qué cuando tuve que ir a reclamar unos exámenes de mi esposo no me los quisieron entregar porque era ‘información confidencial’ y debía llevar una autorización autenticada. ¿A qué juega Cafesalud? Es lamentable que mis datos de salud sean prácticamente públicos. Me siento como reportada en una central de riesgos”, dijo Miryam Stella Morales Orozco.
La herencia de Saludcoop
El nombre de HEON fue mencionado en repetidas oportunidades en los escándalos de Saludcoop que dieron lugar a su intervención por parte del Gobierno, y su posterior liquidación. Incluso, el nombre fue mencionado durante la polémica gestión de Guillermo Grosso, el gerente (ya removido) de la nueva EPS que se formó entre Cafesalud y la liquidada Saludcoop.
La hermana de Grosso, Martha, había sido cercana a Carlos Palacino, presidente de Saludcoop, acusado de los malos manejos que llevaron a su intervención. “[Martha] Tuvo un papel protagónico en la creación y desarrollo Heon Health on Line, empresa satélite de Saludcoop especializada en el desarrollo de software de salud. Hay indicios de que HEON fue creada con recursos y programas propiedad de la EPS, y que después se los vendieron de nuevo a Saludcoop”, dice la revista Semana.
En mayo del 2013, Grosso fue acusado ante la superintendencia por posible interés indebido en la celebración de contratos con Heon. Las denuncias aún están siendo investigadas por la Contraloría, la Procuraduría y la Fiscalía.
La forma en que se generó la empresa y la naturaleza de relaciones con Cafesalud (y la antigua Salucoop) podrían explicar la laxitud con los temas de seguridad de la información.
¿Y los problemas de las otras páginas de EPS?
¿Cómo tantas páginas tienen sistemas tan diferentes de validación de quién es el usuario para entregarle la información?
“La respuesta es que en Colombia no hay lo que se llama un reglamento de seguridad, una tarea pendiente de la Superintendencia de Industria y Comercio”, dice Guzmán.
Esa normatividad, por ejemplo, debería establecer niveles de seguridad y, en el caso de la información de salud, por ejemplo, tener sistemas de control de verificación doble: un mensaje al celular, un mensaje a un correo electrónico registrado, la respuesta a una pregunta que solo el usuario conozca. Un sistema muy parecido al que ya tiene la banca.
Como no existe la norma, ninguna entidad está obligada a ponerla en práctica.
Este limbo técnico-jurídico hace que las fallas sean una amenaza real.
No es la primera vez que se detectan fallas en la seguridad de información médica de usuarios; sin embargo, la de Cafesalud sí es la que podría afectar a un número tan grande: 6,5 millones.
En junio, la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio multó por más de mil millones de pesos a Colmédica, porque información sensible de una ‘treintena’ de usuarios aparecía indexada en motores de búsqueda como Google.
Y sobre la vulnerabilidad de los ciudadanos frente a la utilización de su información personal, hay que decir que lamentablemente no es un temor infundado.
En la actualidad hay casos más aberrantes que los que podrían ocurrir en el sector salud, por ejemplo, en el sector judicial.
Existe, por ejemplo, una página que se llama Datajurídica, en la que están registrados todos los colombianos que han demandado o sido demandados.
Imagine que un ciudadano va a buscar trabajo y aparece en esa página que él demandó por un tema laboral, ¿quién le va a dar trabajo? Nadie.
“Las normas pueden decir cosas hermosas, pero la victimización del ciudadano sigue: lo llaman todos los días para ofrecerle cosas, sin saber de dónde han sacado sus datos. Los ciudadanos no saben dónde están sus datos, si los puede rectificar, evitar que sean usados. No conocen los controles que existen. El sistema de protección de datos en la práctica no existe”, dice Guzmán
Oliveros pone el foco en las debilidades de seguridad de la infraestructura de información del país.
El tema es tan dramático que 5 o 6 hackers experimentados podrían poner en jaque al país, no solo en el sector salud. Esto no es ficción, es un arma de guerra”, dice.
LO ÚLTIMO