Imagen de la campaña #GobiernoEspía, contra la vigilancia a periodistas y representantes de la sociedad civil en México.

1. En pleno debate sobre el trabajo de los órganos autónomos o la participación de la sociedad civil en la fiscalización de las políticas y las acciones del gobierno federal, este martes se anunció que la Alianza para el Gobierno Abierto volverá a funcionar. 2. En esta alianza participan el Gobierno federal, organizaciones de la sociedad civil y […]

Seguir leyendo
Al centro de la imagen, el presidente Enrique Peña Nieto, acompañado a su derecha por Alejandra Palacios Prieto, presidenta de la Cofece, y a su izquierda por Gabriel Contreras Saldívar, presidente del Ift.

Para el gobierno del presidente López Obrador, para un Congreso de mayoría morenista aplastante y para la Cuarta Transformación en general, la autonomía de los reguladores apesta. La descalificación (al más alto nivel presidencial y parlamentario) contra las instituciones que poseen esa cualidad jurídica ha sido tanto política como ideológica y moral. López Obrador ha […]

Seguir leyendo

La autoridad de protección de datos personales de Michoacán absolvió de cualquier responsabilidad a la Secretaría de Salud del estado por la filtración y exposición de 2.3 millones de expedientes clínicos de beneficiarios del Seguro Popular. La “responsabilidad potencial” es de la compañía privada Hova Health, dijo el comisionado presidente del Inai, Francisco Javier Acuña Llamas, quien fue el viernes 25 de enero a Michoacán a celebrar el Día Internacional de Protección de Datos Personales.

Seguir leyendo
Objetivos del software espía Pegasus operado por el gobierno mexicano, actualización de noviembre de 2018. Fuente: Citizen Lab, Universidad de Toronto

Existen indicios de que la Procuraduría General de la República (PGR) violó el principio de responsabilidad y el deber de seguridad que contempla la ley de protección de datos personales aplicable al gobierno federal, a partir del uso del software de espionaje Pegasus. Con esa sospecha fundada, el Inai —la oficina federal de transparencia y […]

Seguir leyendo
Uber, imagen corporativa, tomada de su sitio web en México.
Imagen corporativa de Uber, difundida en 2016 cuando anunció que México representaba su tercer mayor operación en el mundo.

En 2016 un grupo de hackers accedió a los sistemas tecnológicos de Uber y robó datos personales de 57 millones de sus clientes y conductores. Uber —una compañía que ofrece servicios de transporte a través de un software instalado en teléfonos móviles— ocultó este incidente de ciberseguridad durante un año. Entre los afectados hubo casi 1 millón de mexicanos, se supo en marzo de 2018.

Seguir leyendo
Imaip inicia verificación de oficio por filtración de datos en Michoacán. En la imagen, folletos del Seguro Popular de Michoacán.

El Imaip inició el procedimiento de verificación de oficio el martes 11 de septiembre, cuatro semanas después de que el investigador Bob Diachenko revelara que información personal sensible de los pacientes del Seguro Popular estaba disponible sin protección en internet. El procedimiento es de oficio porque nadie presentó denuncia ante el Imaip.

Seguir leyendo
Pacientes del sistema público de salud de Michoacán.

1. Expedientes a la vista de quien sea

El 2 de diciembre de 2016, un médico del sistema público de salud de Michoacán atendió a un paciente con diabetes mellitus. Registró en su expediente clínico electrónico una dentición presente con caries dental y un puntaje 15/15 en la escala Glasgow, el nivel más alto de alerta en los seres humanos resultado de tres criterios de observación clínica: respuesta ocular, respuesta verbal y respuesta motora. El médico revisó los resultados de la biometría hemática, la química sanguínea y el examen general de orina. Palpó cuello y pies; revisó ritmo cardiaco. Resultado de la consulta: descontrol hipertensión arterial sistémica, descontrol obesidad. La receta mantuvo enlistada una docena de medicamentos como captopril de 25 mg, furosemide de 40 mg, metformina de 850 mg, glimepirida de 4 mg e insulina humana inyectable. Por supuesto, el expediente incluye nombre completo, CURP, raza, situación migratoria, discapacidad en caso de presentar alguna, fecha de nacimiento, sexo, nacionalidad y dirección postal del paciente.

Imagen de la base de datos de Hova Health descubierta por el experto en ciberseguridad Bob Diachenko.

2. El administrador de los expedientes

Hova Health es una compañía mexicana que ofrece servicios tecnológicos al sector salud, como administración de expedientes clínicos electrónicos, aplicación e interpretación de estudios radiológicos o la renta de equipo médico. Entre sus clientes se encuentra la Secretaría de Salud de Michoacán, con la que firmó contratos en mayo y noviembre de 2015 (SSM-LP-025/2015-01 y MOD-01) y mayo de 2016 (SSM-LP-004/2016-01) con máximos de 43 millones de pesos y 84 millones de pesos. El miércoles 8 de agosto de 2018, Alexis Nickin, fundador y director de Hova Health, reconoció a El Economista que la compañía dejó expuestos 2.3 millones de expedientes clínicos en una base de datos disponible a través de internet que no necesitaba contraseña para ser accedida. Los expedientes incluían datos personales sensibles de ciudadanos de Michoacán, como su estado de salud y su origen étnico o racial. En la base de datos también se encontraban a la vista de quien sea (terceros no autorizados) diagnósticos y recetas.

Se trata de la exposición de datos personales sensibles más grave registrada en México. Esos datos representan la información de carácter personal más íntima y pueden provocar discriminación y daño a sus titulares (los propietarios de los datos). “En el campo privado sí pudiera ser uno de los casos de mayor envergadura que se ha conocido”, dijo Gustavo Parra Noriega, secretario de Protección de Datos Personales de la autoridad de protección de datos personales (el Inai). La confirmación oficial llegará una vez concluidos los procedimientos respectivos, que el Inai comenzó de la mano de la autoridad protección de datos personales de Michoacán (el Imaip). “Es un caso lamentable, porque además de que son datos personales son datos sensibles”, dijo Areli Yamilet Navarrete, comisionada del Imaip.

Página con las rúbricas del contrato SSM-LP-025/2015-01 entre Hova Health y la Secretaría de Salud de Michoacán. En noviembre, este contrato tuvo una ampliación de 15 por ciento.
Página con las rúbricas del contrato SSM-LP-004/2016-01 entre Hova Health y la Secretaría de Salud de Michoacán.

3. Una sanción ejemplar

“Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Nickin. Puede ser que tenga razón, que la única persona que tuvo acceso a los expedientes clínicos resguardados por Hova Health haya sido el experto en ciberseguridad Bob Diachenko, quien los descubrió en línea sin contraseñas ni candados, alertó a la compañía y luego publicó un artículo sobre el tema en la red social LinkedIn. Pero no basta con que la base de datos no haya sido descargada: Alexis Nickin y su empresa fallaron en proteger la información personal más íntima de los usuarios del sistema público de salud de Michoacán. La sanción debe servir de advertencia para que otros se tomen en serio su responsabilidad a la hora de trabajar con datos personales sensibles.

Este artículo originalmente se publicó en El Economista el 12 de agosto de 2018.

Artículos sobre hackeos en el sector privado

Privacidad y telecomunicaciones | Las comunicaciones privadas se intervienen sin control en México; autoridades hacen 200 requerimientos diarios

Durante cuatro semestres consecutivos, el Instituto Federal de Telecomunicaciones (IFT) ha incumplido con una norma diseñada por el propio instituto que le obliga a publicar en su sitio en internet los reportes que le entregan los operadores de telefonía sobre su colaboración con las autoridades de seguridad y justicia. Esos reportes generados por los operadores […]

Seguir leyendo
Reporte 2017. Colaboración con autoridades de seguridad y justicia. Se piden datos de usuarios 200 veces al día.

La vigilancia legal en México, a través del registro de datos de servicios de telecomunicaciones, se realiza con un desparpajo que asusta. Todo en la norma, desde su diseño hasta su aplicación, supervisión y transparencia, es un rosario de abusos, desatinos y absurdos. Las autoridades de seguridad y justicia —además de otras sin atribuciones para […]

Seguir leyendo

Newsletter

TwitterFacebook / Youtube