Datos y privacidad.

Datos de 999.941 usuarios de Sanitas (Keralty) estarían expuestos sin ningún tipo seguridad o filtro

No es el producto de un ataque cibernético. Posible mal manejo de datos privados de millones de clientes.

Camila Cáceres* con cédula terminada en 711, nació el 22 de junio de 1990, vive en el apartamento 802 de la torre 10 de un barrio al sur de Bogotá. Su celular termina en 39, tiene un correo de Gmail. 

Tiene un hijo que nació el 1 de enero. Es un bebé. El Registro Civil de Nacimiento del niño termina en 18.  Fue registrado en Chapinero.

Se afilió a Sanitas con un Plan Premium el pasado 14 de mayo gracias a que una funcionaria de apellido Patiño quien la asesoró. Camila trabaja como analista.  Su firma y su huella están en Internet.  

Camila pagó usando el portal de Sanitas. El número de transacción aprobado termina en 292.  Datos de su pago están en línea gracias a que alguien tomó una foto de la pantalla y la subió a Internet. 

Pero no es el único caso. Diana Fernandez* es otra afectada. Tiene como Arl  Sura y su administradora de pensiones es Porvenir. Vive en la ciudad de Duitama.  Tiene un hijo que nació en el 2012.

Diana Martínez trabaja en una empresa que hace interventorias.  Llegó a Sanitas por un traslado y viene de Sura. Su cédula escaneada y expuesta en Internet fue expedida en el 2004.  Su estatura es de 1,56 y tiene sangre A+.

Fernando, su pequeño hijo no nació en Duitama. Vio la luz en Bucaramanga, Santander. Su tarjeta de identidad venció el 31 de marzo del 2021.

La empleadora de Diana, quien hizo el trámite de la afiliación de Diana ante Sanitas, se llama Johanna* Su cédula termina en 326 y firmó un documento donde autorizó a EPS Sanitas a actuar como el Responsable del Tratamiento de Datos personales de Diana.

Como estos dos casos MuchoHacker.lol tuvo acceso a dos más de clientes de sanitas cuya información privada está expuesta en Internet. Todos en las mismas condiciones. Información privada publica sin ningún tipo de control o filtro y a la cual pudimos acceder con tan solo visitar una URL. No se necesita ningún conocimiento técnico para visitar la información. 

Como estos cuatro casos pueden existir miles o millones más.  Según el investigador de Ciberseguridad Volodymyr ‘Bob’ Diachenko , se podrían presentar 999,941 casos similares.  

Diachenko alertó a la empresa Keralty sobre la situación y no recibió respuesta.  MuchoHacker observó la alerta y se comunicó con el analista el pasado viernes quien compartió la situación con varios detalles técnicos y muestras de los datos accesibles. 

Datos privados hechos públicos

Sanitas usa un servicio de Google Cloud en el cual se usan unos espacios en la nube para almacenar grandes volúmenes de información. Estos espacios se denomina técnicamente buckets y sirven básicamente para alojar información. 

El analista de ciberseguridad encontró la URL raíz donde están alojados todos los documentos ya que Diachenko, entre otras cosas, se dedica a descubrir fugas de información de servicios en la nube que prestan tecnológicas como Google o Amazon. 

La dirección donde están alojados los datos tiene la siguiente estructura https://XXX_XX.XXXXX.googleapis.com/. Tan solo al visitar esta dirección se accede a al Bucket y desde allí se puede ingresar a toda la información.   

Una vez el analista conoció la situación alertó a Keralty a finales de diciembre pero no encontró respuesta. 

En el momento en que MuchoHacker.lol se comunicó con Diachenko alguien le puso una restricción a la URL  principal sin darse cuenta que con la estructura de alojamiento se pueden acceder a todos los datos.  Datos a los que hoy se pueden acceder. 

Todos los documentos están alojados en una estructura de similar a esta. Cada uno de los documentos de los usuarios está identificado con un número  de esta forma https://XXX_XXXXXX.googleapis.com/0000931XX.pdf. Solo basta cambiar algunos de las cifras y navegar en los diferentes documentos.

Cada número representaría un formulario de afiliación y cada uno de estos documentos va acompañado de toda la documentación que debe un afiliado adjuntar al momento de acceder a los servicios de Sanitas. 

Pudimos observar cédulas escaneadas, documentos de consignación, formularios de afiliación y contratos de trabajo. Todos los documentos escaneados en alta calidad. 

Todos los datos subidos a la nube tienen datos privados de los afiliados. Nombres, correos, direcciones, hijos, tipo de afiliación, empleador, lugar de trabajo, entre otros. y están accesibles a una url de distancia.

El acceso a esa información no tiene ningún filtro, tampoco se exige una contraseña. 

Para Diachenko uno de los aspectos más graves es que no se conoce desde cuándo esa información estuvo disponible en Internet sin ningún tipo de restricción. 

Al momento de la escritura de este post aún sigue la información expuesta. 

999.941

Dentro de las herramientas que usan los analistas de seguridad para detectar incidentes digitales se encuentra una que puede hacer búsquedas por palabra clave y otros filtros en los buckets de diferentes servicios en la nube. 

La herramienta que ayudó a detectar esta situación buscando con la url principal detectó 999.941 resultados en su búsqueda que pueden traducirse a 999.941 documentos expuestos. Esta herramienta solo se corrió para detectar un bucket y Keralty puede tener mucho más por el volumen de datos que maneja. 

MuchoHacker se comunicó con Keralty para conocer sobre la situación. Se enviaron una serie de preguntas a la empresa Dattis, quien maneja las relaciones de la entidad, y se está a la espera de una respuesta. 

Solo basta apelar al sentido común para concluir que la información privada de millones de personas no debería estar accesible en una URL. En teoría en esta situación se estarían incumpliendo normas legales que, entre otras, la Superintendencia de Industria y Comercio debería vigilar.  Como ha pasado en otros casos reportados en este blog nadie sabe nada, nadie responde. 

*Nombres cambiados para no hacer posible la identificación de los afectados. 

4 comentarios en «Datos de 999.941 usuarios de Sanitas (Keralty) estarían expuestos sin ningún tipo seguridad o filtro»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *