Pacientes del sistema público de salud de Michoacán.

1. Expedientes a la vista de quien sea

El 2 de diciembre de 2016, un médico del sistema público de salud de Michoacán atendió a un paciente con diabetes mellitus. Registró en su expediente clínico electrónico una dentición presente con caries dental y un puntaje 15/15 en la escala Glasgow, el nivel más alto de alerta en los seres humanos resultado de tres criterios de observación clínica: respuesta ocular, respuesta verbal y respuesta motora. El médico revisó los resultados de la biometría hemática, la química sanguínea y el examen general de orina. Palpó cuello y pies; revisó ritmo cardiaco. Resultado de la consulta: descontrol hipertensión arterial sistémica, descontrol obesidad. La receta mantuvo enlistada una docena de medicamentos como captopril de 25 mg, furosemide de 40 mg, metformina de 850 mg, glimepirida de 4 mg e insulina humana inyectable. Por supuesto, el expediente incluye nombre completo, CURP, raza, situación migratoria, discapacidad en caso de presentar alguna, fecha de nacimiento, sexo, nacionalidad y dirección postal del paciente.

Imagen de la base de datos de Hova Health descubierta por el experto en ciberseguridad Bob Diachenko.

2. El administrador de los expedientes

Hova Health es una compañía mexicana que ofrece servicios tecnológicos al sector salud, como administración de expedientes clínicos electrónicos, aplicación e interpretación de estudios radiológicos o la renta de equipo médico. Entre sus clientes se encuentra la Secretaría de Salud de Michoacán, con la que firmó contratos en mayo y noviembre de 2015 (SSM-LP-025/2015-01 y MOD-01) y mayo de 2016 (SSM-LP-004/2016-01) con máximos de 43 millones de pesos y 84 millones de pesos. El miércoles 8 de agosto de 2018, Alexis Nickin, fundador y director de Hova Health, reconoció a El Economista que la compañía dejó expuestos 2.3 millones de expedientes clínicos en una base de datos disponible a través de internet que no necesitaba contraseña para ser accedida. Los expedientes incluían datos personales sensibles de ciudadanos de Michoacán, como su estado de salud y su origen étnico o racial. En la base de datos también se encontraban a la vista de quien sea (terceros no autorizados) diagnósticos y recetas.

Se trata de la exposición de datos personales sensibles más grave registrada en México. Esos datos representan la información de carácter personal más íntima y pueden provocar discriminación y daño a sus titulares (los propietarios de los datos). “En el campo privado sí pudiera ser uno de los casos de mayor envergadura que se ha conocido”, dijo Gustavo Parra Noriega, secretario de Protección de Datos Personales de la autoridad de protección de datos personales (el Inai). La confirmación oficial llegará una vez concluidos los procedimientos respectivos, que el Inai comenzó de la mano de la autoridad protección de datos personales de Michoacán (el Imaip). “Es un caso lamentable, porque además de que son datos personales son datos sensibles”, dijo Areli Yamilet Navarrete, comisionada del Imaip.

Página con las rúbricas del contrato SSM-LP-025/2015-01 entre Hova Health y la Secretaría de Salud de Michoacán. En noviembre, este contrato tuvo una ampliación de 15 por ciento.
Página con las rúbricas del contrato SSM-LP-004/2016-01 entre Hova Health y la Secretaría de Salud de Michoacán.

3. Una sanción ejemplar

“Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Nickin. Puede ser que tenga razón, que la única persona que tuvo acceso a los expedientes clínicos resguardados por Hova Health haya sido el experto en ciberseguridad Bob Diachenko, quien los descubrió en línea sin contraseñas ni candados, alertó a la compañía y luego publicó un artículo sobre el tema en la red social LinkedIn. Pero no basta con que la base de datos no haya sido descargada: Alexis Nickin y su empresa fallaron en proteger la información personal más íntima de los usuarios del sistema público de salud de Michoacán. La sanción debe servir de advertencia para que otros se tomen en serio su responsabilidad a la hora de trabajar con datos personales sensibles.

Este artículo originalmente se publicó en El Economista el 12 de agosto de 2018.

Hackeos a empresas privadas

Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon