Los registros médicos de 24 millones de personas se pueden encontrar fácilmente en línea en 590 servidores en 52 países, incluidos los Estados Unidos, el Reino Unido y Canadá.

Los datos incluyen imágenes de rayos X y resultados de tomografías computarizadas y resonancias magnéticas, así como los nombres de los pacientes, las fechas de nacimiento y los números de identificación del gobierno, incluidos Números de seguro social. Los residentes estadounidenses afectados ascendieron a 13,7 millones, más de la mitad del total.

"Muchos [de estos servidores] no tienen protección, no están protegidos con contraseña o encriptados", dijo Redes Greenbone, la empresa alemana de seguridad de la información que encontró los registros, en una publicación de blog. "No es necesario ser un pirata informático para acceder a estos datos tan sensibles; todo es visible con la ayuda de herramientas disponibles gratuitamente ".

MÁS: ¿Víctima de robo de identidad? Aquí hay 6 cosas que debe hacer

En total, alrededor de 737 millones de imágenes médicas se almacenaron en estos servidores en todo el mundo, de las cuales 400 millones se podían ver o descargar sin contraseña. Greenbone Networks dijo que no descargó ninguno de los datos.

Desafortunadamente, no hay mucho que los pacientes puedan hacer al respecto. Los servidores vulnerables pertenecen a clínicas médicas, prácticas de radiología y otros pequeños proveedores de atención médica, que son responsables de su propia seguridad.

La emisora ​​alemana Bayerische Rundfunk y el medio de comunicación estadounidense sin fines de lucro Pro Publica obtuvieron acceso temprano a Greenhouse Networks y luego realizaron sus propios escaneos en busca de servidores de imágenes médicas vulnerables. Como resultado, contactaron a varios proveedores médicos afectados, pero solo algunos aseguraron sus servidores.

Pro Publica recomienda que los pacientes pregunten a sus médicos u otros proveedores de atención médica si el acceso a sus imágenes médicas requiere una contraseña. Pero eso supone que los pacientes puedan obtener una respuesta directa, o que el personal médico incluso sepa la respuesta.

Una bonanza de robo de identidad

La seguridad de la información descuidada es un problema sistémico en la industria de la salud, que depende del acceso rápido y fácil a los registros médicos para brindar una atención rápida y precisa. Existen estándares para proteger los registros médicos de la exposición digital, pero no se implementan universalmente.

Debido a que los registros médicos contienen tanta información personal del paciente, son una bonanza para los ladrones de identidad, que han sido allanamiento de registros médicos durante más de una década, a menudo con el objetivo de utilizar los datos robados para obtener reembolsos de impuestos de otras personas.

"Estos datos podrían ser explotados por atacantes para varios propósitos", dijo el informe oficial de Greenbone Networks.

"Estos incluyen la publicación de nombres e imágenes individuales en detrimento de la reputación de una persona; conectar los datos con otras fuentes de Darknet para hacer que los ataques de phishing y la ingeniería social sean aún más efectivos; leer y procesar automáticamente los datos para buscar información valiosa de identidad, como números de seguro social, en preparación para el robo de identidad ".

Estándares pasados ​​de moda

Los casi 600 sistemas vulnerables que encontró Greenbone Networks son servidores del Sistema de comunicación y archivo de imágenes (PACS) que los proveedores de atención médica utilizan para almacenar y acceder a imágenes médicas.

Los servidores PACS se adhieren a un protocolo llamado Digital Imaging and Communications in Medicine, o DICOM, que fue desarrollado en la década de 1980 para facilitar a los proveedores médicos el intercambio de imágenes de diagnóstico en computadoras públicas redes.

"Cualquiera puede acceder a una cantidad significativa de estos sistemas y, lo que es más, puede ver todo lo que está almacenado en ellos", dijo Greenbone Networks.

Los investigadores de Greenbone utilizaron los motores de búsqueda Shodan y Censys.io, que buscan dispositivos conectados a Internet que no sean PC, así como otras fuentes para encontrar los servidores PACS vulnerables en línea.

Usaron un producto de software de visor de archivos DICOM comercial para ver las imágenes. Una licencia de software cuesta alrededor de $ 100 por año, pero puede descargar y usar una versión de prueba completamente funcional en cualquier PC con Windows.

Aproximadamente 40 de los sistemas ni siquiera usaban DICOM, sino que usaban los protocolos HTTP o FTP comunes, lo que significaba que cualquiera con un navegador web podría haberlos visto.

En su presentación en el blog, Greenbone Networks calificó todo el asunto como "una fuga de datos global masiva que está esperando suceder".

  • 11 formas de saber si le han robado su identidad
  • Qué hacer si le roban su reembolso de impuestos
  • El doctor en tu muñeca: cómo los relojes inteligentes están salvando vidas

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.