La autoridad de protección de datos personales de Michoacán absolvió de cualquier responsabilidad a la Secretaría de Salud del estado por la filtración y exposición de 2.3 millones de expedientes clínicos de beneficiarios del Seguro Popular. La “responsabilidad potencial” es de la compañía privada Hova Health, dijo el comisionado presidente del Inai, Francisco Javier Acuña Llamas, quien fue el viernes 25 de enero a Michoacán a celebrar el Día Internacional de Protección de Datos Personales.

Seguir leyendo
Imaip inicia verificación de oficio por filtración de datos en Michoacán. En la imagen, folletos del Seguro Popular de Michoacán.

El Imaip inició el procedimiento de verificación de oficio el martes 11 de septiembre, cuatro semanas después de que el investigador Bob Diachenko revelara que información personal sensible de los pacientes del Seguro Popular estaba disponible sin protección en internet. El procedimiento es de oficio porque nadie presentó denuncia ante el Imaip.

Seguir leyendo
Pacientes del sistema público de salud de Michoacán.

1. Expedientes a la vista de quien sea

El 2 de diciembre de 2016, un médico del sistema público de salud de Michoacán atendió a un paciente con diabetes mellitus. Registró en su expediente clínico electrónico una dentición presente con caries dental y un puntaje 15/15 en la escala Glasgow, el nivel más alto de alerta en los seres humanos resultado de tres criterios de observación clínica: respuesta ocular, respuesta verbal y respuesta motora. El médico revisó los resultados de la biometría hemática, la química sanguínea y el examen general de orina. Palpó cuello y pies; revisó ritmo cardiaco. Resultado de la consulta: descontrol hipertensión arterial sistémica, descontrol obesidad. La receta mantuvo enlistada una docena de medicamentos como captopril de 25 mg, furosemide de 40 mg, metformina de 850 mg, glimepirida de 4 mg e insulina humana inyectable. Por supuesto, el expediente incluye nombre completo, CURP, raza, situación migratoria, discapacidad en caso de presentar alguna, fecha de nacimiento, sexo, nacionalidad y dirección postal del paciente.

Imagen de la base de datos de Hova Health descubierta por el experto en ciberseguridad Bob Diachenko.

2. El administrador de los expedientes

Hova Health es una compañía mexicana que ofrece servicios tecnológicos al sector salud, como administración de expedientes clínicos electrónicos, aplicación e interpretación de estudios radiológicos o la renta de equipo médico. Entre sus clientes se encuentra la Secretaría de Salud de Michoacán, con la que firmó contratos en mayo y noviembre de 2015 (SSM-LP-025/2015-01 y MOD-01) y mayo de 2016 (SSM-LP-004/2016-01) con máximos de 43 millones de pesos y 84 millones de pesos. El miércoles 8 de agosto de 2018, Alexis Nickin, fundador y director de Hova Health, reconoció a El Economista que la compañía dejó expuestos 2.3 millones de expedientes clínicos en una base de datos disponible a través de internet que no necesitaba contraseña para ser accedida. Los expedientes incluían datos personales sensibles de ciudadanos de Michoacán, como su estado de salud y su origen étnico o racial. En la base de datos también se encontraban a la vista de quien sea (terceros no autorizados) diagnósticos y recetas.

Se trata de la exposición de datos personales sensibles más grave registrada en México. Esos datos representan la información de carácter personal más íntima y pueden provocar discriminación y daño a sus titulares (los propietarios de los datos). “En el campo privado sí pudiera ser uno de los casos de mayor envergadura que se ha conocido”, dijo Gustavo Parra Noriega, secretario de Protección de Datos Personales de la autoridad de protección de datos personales (el Inai). La confirmación oficial llegará una vez concluidos los procedimientos respectivos, que el Inai comenzó de la mano de la autoridad protección de datos personales de Michoacán (el Imaip). “Es un caso lamentable, porque además de que son datos personales son datos sensibles”, dijo Areli Yamilet Navarrete, comisionada del Imaip.

Página con las rúbricas del contrato SSM-LP-025/2015-01 entre Hova Health y la Secretaría de Salud de Michoacán. En noviembre, este contrato tuvo una ampliación de 15 por ciento.
Página con las rúbricas del contrato SSM-LP-004/2016-01 entre Hova Health y la Secretaría de Salud de Michoacán.

3. Una sanción ejemplar

“Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Nickin. Puede ser que tenga razón, que la única persona que tuvo acceso a los expedientes clínicos resguardados por Hova Health haya sido el experto en ciberseguridad Bob Diachenko, quien los descubrió en línea sin contraseñas ni candados, alertó a la compañía y luego publicó un artículo sobre el tema en la red social LinkedIn. Pero no basta con que la base de datos no haya sido descargada: Alexis Nickin y su empresa fallaron en proteger la información personal más íntima de los usuarios del sistema público de salud de Michoacán. La sanción debe servir de advertencia para que otros se tomen en serio su responsabilidad a la hora de trabajar con datos personales sensibles.

Este artículo originalmente se publicó en El Economista el 12 de agosto de 2018.

Artículos sobre hackeos en el sector privado

Newsletter

TwitterFacebook / Youtube