Las desprolijidades de mi mutualista

con la seguridad de la información.

Si, así como lo leen, en muchos sentidos mi mutualista es muy desprolija, como casi todas las de uruguay, mejores peores, por mil cosas.

Pero no voy a hablar de la prestaciones que me da, de las cuales no me puedo quejar, sino de la proteccion de datos y la seguridad de informacion.

Hace mas de un año, luego de que presentaran una app de celular la instalo y como buen curioso la examino, ahi encuentro que no solo pasaba los datos en plano, sino que lo hacia hacia un windows server en EEUU.

TLS para que!

Un nmap despues veo que tienen abierto al mundo no solo el puerto del MS SQLserver abierto sino un ftp… con las claves por defecto y dentro… la app con los fuentes y los hashes de las DB ahi nomas..

Me quedo mas tranquilos, sin virus…

Bueno, esto se notifico por mail a ellos y al cert.uy.

Lo arreglaron y no segui, no me corresponde hacerlo ni tenia permisos, pero me puse a las ordenes, me dieron las gracias y nunca mas.

Poco tiempo salio un llamado para el puesto de seguridad de la información, pero como no tengo titulo profesional habilitante no me podia presentar, alguien seguramente se presento agarro ese trabajo y esperaba que pudieran mejorar la seguridad de en definitiva, mis datos pero parece que no.

En diciembre de 2019 me pongo a mirar unos resultados de analisis clinicos personales (la edad pesa) y me encuentro que los resultados estan en una carpeta temporal en la web (a la que le pusieron https!) con un nombre de archivo numerico secuencial, cambiando los numeros del nombre del archivo pdf puedo acceder a los resultados de cualquier otra persona…. de nuevo, notifico telefonicamente a la institución y por mail al cert.uy estos me informan luego que tambien se pusieron en contacto con la institucion.

Este caso es el resultado de analisis de VIH de un paciente, el nombre y el num soc estaban ahi publicos…

Esto no es contra nadie, sino que se visibilize la importancia de la seguridad en la información. No solo que nadie tiene por que saber mis temas medicos, sino que alguien malisiosamente puede llegar a tener datos suficientes para otro tipos de delitos.

En este tipo de cosas siempre se criminaliza al que encuentra e informa de estos problemas, pero raramente se hace responsable a quienes en en la omision no velan por la seguridad de nuestra información, en estos casos se notifico a la institucion y solucionaron los problemas, no me corresponde realizar un seguimiento del estado, pero de econtrar cosas así como siempre repotar al cert.uy y a la instiucion/empresa.

La institucion he invertido y esta realizando cosas muy destacables y pioneras a nivel nacional en informatica medica, pero este tipo de errores son muy basicos como para dejarlos pasar por alto.