Datos y privacidad.

Adom, empresa prestadora de salud domiciliaria expone datos privados de sus pacientes 

No es necesario un sofisticado ataque digital para acceder a información privada de personas en Colombia.  Solo basta ingresar una dirección IP para encontrarse con cientos de datos que, en teoría, deberían ser objeto del más estricto control. 

En esta oportunidad la empresa que expone datos privados  de sus clientes es la IPS Adom, ubicada en la ciudad de Bogotá. 

MuchoHacker.lol pudo verificar que documentos de la entidad están a disposición de cualquier persona que logre ubicar la Url donde están alojados. Los documentos no tienen ningún sistema de seguridad y se accede a ellos con un simple clic. 

La URL donde están alojados los documentos fue compartida por un analista de ciberseguridad anónimo que al observar la situación compartió con MuchoHacker.lol la URL con la esperanza de que la entidad cambie esta situación que podría afectar un gran número de los clientes de esta empresa. 

Una vez se verificó el acceso a los documentos se envío una advertencia a la organización Adom. Se usó el teléfono conectado a un Whastapp de la empresa que se encuentra promocionado en su sitio web. 

A las 2:23 de la tarde del 14 de marzo de 2024 se envió una advertencia a Adom de la exposición de datos privados. Nos dejaron en visto.

Al momento de la publicación de este post no respondieron ni ante la advertencia sobre la exposición de datos y mucho menos para conocer su opinión sobre los hallazgos. A esta hora cualquier persona puede acceder a ellos. 

Historias clínicas para todos

La situación es extremadamente delicada porque tan solo una de las carpetas a las que se accede contiene historias médicas de pacientes. 

Según el Ministerio de Salud, la historia clínica es un documento privado que tiene el carácter de reservado.  “Unicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la Ley”.

Situación que no se cumple en Adom. Solo basta dar dos clics para acceder a la historia clínica de una mujer de apellido Acosta atendida por una médica de apellido Sanabria. En el documento se tiene acceso a todo tipo de datos. Dirección, teléfono, asegurador, nombre de conyuge, entre otros datos. 

Lo más grave, cualquier persona puede leer que la señora Acosta tuvo una “sospecha de infección viral por Sars Cov2”. Todos los datos clínicos, examen, análisis de la paciente están en un pdf sin ningún tipo de seguridad. 

Pero no solo eso. Firmas de pacientes y doctores están en línea.

Incluso se puede descargar en archivos PNG transparentes. Quien quisiera usar una firma para poner sobre un documento encuentra acá un recurso con la firma de un médico.

Documentación privada de los servidores de la salud están expuestos. Y no solo documentos que pertenece a Adom, también información de otras entidades. Como el Instituto Nacional de Salud. 

Son incontables los documentos a los que se tiene acceso.

Este es otro de los múltiples casos documentados donde la información privada de millones de colombianos termina por exponerse públicamente por cuenta de la ausencia de políticas públicas efectivas que sancionen y al menos entiendan la gravedad del asunto.

Actualización, viernes 15 de marzo de 2024, 4:19 p.m

Revisión realizada a la URL donde se alojaba la información indica que ya no se tiene acceso público a esa url.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *