Como se detalla en una nota que publicamos hoy, la informaciónl personal e íntima -tanto como el grupo sanguíneo, religión, teléfono y CURP- de 5.3 millones de mexicanos podrían haberse vulnerado por un error en la programación de un software ampliamente utilizado por instituciones hospitalarias, principalmente privadas de México.
Alguien olvidó establecer el requisito de una contraseña para acceder a la base de datos de los usuarios de un software que es utilizado, según el fabricante, por 30 mil médicos, 65 hospitales, y 110 servicios de atención ambulatoria.
De acuerdo al grupo de investigadores del portal Cybernews, se había dejado abierta la puerta para que cualquier persona -con buenas o malas intenciones, a propósito o casualmente- entrara a esas bases de datos prácticamente desde su teléfono celular, y así fue por lo menos hasta que los desarrolladores fueron advertidos y se apresuraron a cerrar la brecha de información.
Es decir, por un tiempo determinado -desconocemos desde cuándo se utiliza aquella herramienta, aunque sí sabemos que el fallo fue remediado, cuando mucho, hace unas semanas- esa información personalísima de usuarios de hospitales en México estuvo disponible sin necesidad de que nadie “hackeara” nada: simplemente no se pedía una contraseña para acceder a ella.
Otra cosa que desconocemos -y con nosotros, el mismo equipo de investigadores de Cybernews- es qué medidas se han tomado por la empresa, los hospitales y las instancias de seguridad cibernética mexicanas o siquiera si han sido advertidas de esta situación y, con ellas, a los legítimos propietarios de la información que fue expuesta.
Lo primero que deberían hacer los usuarios es, desde luego, revisar dos veces sus estados de cuenta bancaria, pero las instituciones de salud y sus proveedores de servicios tienen la responsabilidad ética de proteger la información de sus usuarios, así como la obligación legal de cumplir con normativas que garanticen el uso responsable y seguro de estos datos.
La Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO) en México establece claramente los lineamientos y las sanciones para las instituciones que fallan en su deber de proteger los datos personales de sus usuarios.
A pesar de esta normativa, este incidente muestra que las empresas y los organismos gubernamentales requieren mejorar sus prácticas de ciberseguridad y actualizar constantemente sus sistemas para enfrentar los retos que plantea el desarrollo digital y, desde luego, estar pendientes de este tipo de información -nos referimos a una nota que apareció en un portal público- para tomar algún tipo de medidas urgentes que protejan el patrimonio de quienes lo único que querían era remediar sus problemas de salud.