1. Expedientes a la vista de quien sea

El 2 de diciembre de 2016, un médico del sistema público de salud de Michoacán atendió a un paciente con diabetes mellitus. Registró en su expediente clínico electrónico una dentición presente con caries dental y un puntaje 15/15 en la escala Glasgow, el nivel más alto de alerta en los seres humanos resultado de tres criterios de observación clínica: respuesta ocular, respuesta verbal y respuesta motora. El médico revisó los resultados de la biometría hemática, la química sanguínea y el examen general de orina. Palpó cuello y pies; revisó ritmo cardiaco. Resultado de la consulta: descontrol hipertensión arterial sistémica, descontrol obesidad. La receta mantuvo enlistada una docena de medicamentos como captopril de 25 mg, furosemide de 40 mg, metformina de 850 mg, glimepirida de 4 mg e insulina humana inyectable. Por supuesto, el expediente incluye nombre completo, CURP, raza, situación migratoria, discapacidad en caso de presentar alguna, fecha de nacimiento, sexo, nacionalidad y dirección postal del paciente.

2. El administrador de los expedientes

Hova Health es una compañía mexicana que ofrece servicios tecnológicos al sector salud, como administración de expedientes clínicos electrónicos, aplicación e interpretación de estudios radiológicos o la renta de equipo médico. Entre sus clientes se encuentra la Secretaría de Salud de Michoacán, con la que firmó contratos en mayo y noviembre de 2015 (SSM-LP-025/2015-01 y MOD-01) y mayo de 2016 (SSM-LP-004/2016-01) con máximos de 43 millones de pesos y 84 millones de pesos. El miércoles 8 de agosto de 2018, Alexis Nickin, fundador y director de Hova Health, reconoció a El Economista que la compañía dejó expuestos 2.3 millones de expedientes clínicos en una base de datos disponible a través de internet que no necesitaba contraseña para ser accedida. Los expedientes incluían datos personales sensibles de ciudadanos de Michoacán, como su estado de salud y su origen étnico o racial. En la base de datos también se encontraban a la vista de quien sea (terceros no autorizados) diagnósticos y recetas.

Se trata de la exposición de datos personales sensibles más grave registrada en México. Esos datos representan la información de carácter personal más íntima y pueden provocar discriminación y daño a sus titulares (los propietarios de los datos). “En el campo privado sí pudiera ser uno de los casos de mayor envergadura que se ha conocido”, dijo Gustavo Parra Noriega, secretario de Protección de Datos Personales de la autoridad de protección de datos personales (el Inai). La confirmación oficial llegará una vez concluidos los procedimientos respectivos, que el Inai comenzó de la mano de la autoridad protección de datos personales de Michoacán (el Imaip). “Es un caso lamentable, porque además de que son datos personales son datos sensibles”, dijo Areli Yamilet Navarrete, comisionada del Imaip.

3. Una sanción ejemplar

“Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Nickin. Puede ser que tenga razón, que la única persona que tuvo acceso a los expedientes clínicos resguardados por Hova Health haya sido el experto en ciberseguridad Bob Diachenko, quien los descubrió en línea sin contraseñas ni candados, alertó a la compañía y luego publicó un artículo sobre el tema en la red social LinkedIn. Pero no basta con que la base de datos no haya sido descargada: Alexis Nickin y su empresa fallaron en proteger la información personal más íntima de los usuarios del sistema público de salud de Michoacán. La sanción debe servir de advertencia para que otros se tomen en serio su responsabilidad a la hora de trabajar con datos personales sensibles.

Este artículo originalmente se publicó en El Economista el 12 de agosto de 2018.

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)