Muchas veces nos preguntamos por quien es el responsable al momento de encontrar una vulnerabilidad en un sitio web que expone información de las personas, si quien hace publico el hallazgo o bien quien comete el errror de dejar esa vulnerabilidad. La verdad es que obviamente es una responsabilidad compartida, pero cuando los encargados de resguardar dicha información no hacen bien su trabajo y no implementan ningún tipo de medidas de seguridad, la responsabilidad –creo yo– corresponde a quien comete el error de dejar la puerta abierta.
Tambien es cierto que existe una gran diferencia entre romper un sistema informático para acceder a información confidencial y encontrar todo abierto, donde es llegar y descargar información donde incluso los motores de busqueda son capaces de indexar dicha información. En este caso en particular, yo me referiré al segundo caso: Cuando dejan todo abierto.

La idea de este artículo no es exponer información confidencial ni mucho menos, simplemente hacer una comparativa de casos en la vida real e internet.

Hace una semana aproximadamente, se dio a conocer en los distintos medios de comunicación, una noticia relacionada con la filtración de documentos médicos o clínicos de los pacientes de un hospital en una comuna de Santiago. En estas fichas médicas existian datos personales de cientos de personas como el nombre del paciente, RUT, dirección e incluso información sobre la enfermedad de cada uno.

Una persona que iba caminando tranquilamente por la calle, se dio cuenta de la presencia de estos documentos y comenzo a grabarlos, luego envio el video a distintos canales de televisión. Esta persona no cometió ningun delito, simplemente grabó algo que le pareció interesante y al darse cuenta la magnitud del asunto, decidió hacerlo publico.

Hace un par de dias, caminando por una conocida calle de Santiago, me encontré con unos documentos clínicos que pertenecían a personas menores  y mayores de edad, donde se exponía el tipo de examen clínico, nombre de la persona, rut, dirección, etc.

Estos documentos pertenecen al Hospital Clínico Universidad de Chile y estaban en la calle.

¿Quien es responsable por esto?

En un sistema informático esto es muy parecido, por no decir igual. Un equipo de personas o una empresa encargada de desarrollar un sistema que debe tener la seguridad necesaria para que la información no sea expuesta a terceros, muchas veces no cumple ni con la más mínima protección. No me refiero a que un usuario mal intencionado haga un ataque a una clínica u hospital explotando vulnerabilidades de manera sofisticada, sino a un hecho tan simple de que la información privada no sea indexada por los motores de busqueda, que al menos tengan una protección de usuario y contraseña, que al menos intenten validar que la persona que realiza la solicitud sea quien dice ser, etc.

Por ejemplo, hace un par de meses el centro de salud MaipoSalud otorgaba acceso a examenes médicos a quien tuviera la URL, y no sólo eso, sino que al modificar el “id” del examen, podrías acceder a información de otros pacientes. Este caso fue publicado en el blog de secureless y ya fue resuelto, pero de todas formas nadie es capaz de decirnos cuantas personas accedieron a toda esa información o quien es el responsable por el acceso ¿no autorizado? a esos examenes.

Este tipo de información, sea expuesta de manera digital o fisica, es útil para los ataques de ingenieria social o los conocidos ataques del “cuento del tío“, donde se utiliza información de la víctima para ganar su confianza y luego aprovecharse de la víctima.

Lo que aparece en el video mostrado mas arriba, pienso yo, que es exactamente el mismo caso de lo que pasó con la publicación en secureless, sin embargo, la primera no es mal vista.