En la actualidad la recopilación y el almacenamiento de datos se han convertido en una parte fundamental de la atención médica moderna. Sin embargo, con esta creciente dependencia de la tecnología para gestionar información valiosa, surge una preocupación cada vez más apremiante: la privacidad de los datos sensibles, en particular, los datos sanitarios. Uno de los últimos incidentes en cuanto a la privacidad de datos sensibles ha ocurrido en Países bajos donde una base de datos sin contraseña que contenía aproximadamente 1.3 millones de registros de pruebas de COVID-19 ha quedado expuesta en internet.
Entre la información revelada en la base de datos, que era de acceso público y aparentemente configurada de manera insegura, se encontraban 118.441 certificados de pruebas de coronavirus, 506.663 registros de citas, 660.173 muestras de pruebas y «un pequeño número» de archivos internos.
Los registros de pruebas de COVID expuestos contenían el nombre de cada paciente, su nacionalidad, número de pasaporte y resultados de la prueba, así como el precio, la ubicación y el tipo de prueba realizada. La base de datos también contenía miles de códigos QR y cientos de archivos .csv que mostraban detalles de citas y las direcciones de correo electrónico de muchos pacientes.
Descubiertas por un experto en brechas de seguridad
El descubrimiento de esta base de datos expuesta fue realizado por Jeremiah Fowler, un experto en detectar brechas de seguridad, quien estimó que pertenecía a uno de los mayores proveedores comerciales de pruebas de COVID-19 en los Países Bajos, CoronaLab, una compañía perteneciente a Microbe & Lab con sede en Ámsterdam. La Embajada de Estados Unidos en los Países Bajos incluso incluye a CoronaLab en su lista de proveedores recomendados de pruebas de COVID-19 en el país.
Fowler advirtió sobre las graves consecuencias que podrían surgir si alguien con intenciones maliciosas accediera a esta base de datos. «Los criminales podrían potencialmente hacer referencia a fechas de pruebas, ubicaciones u otra información confidencial que solo el paciente y el laboratorio conocerían«, escribió. «Cualquier exposición potencial que involucre datos de pruebas de COVID combinados con información personal identificable podría comprometer la privacidad personal y médica de las personas mencionadas en los documentos».
Responsabilidad de estos datos
El informe sobre la exposición de datos de CoronaLab se parece en muchos aspectos a otras noticias sobre exposiciones accidentales de datos que cada día surgen: una vez detectada ahora la base de datos está fuera de línea.
Según Fowler, nadie en CoronaLab o Microbe & Lab respondió a sus múltiples intentos de comunicarse y notificarles sobre la exposición. «Envié múltiples notificaciones de divulgación responsable y no recibí ninguna respuesta, y varias llamadas telefónicas tampoco dieron resultados«, afirmó Fowler. «La base de datos permaneció abierta durante casi tres semanas antes de que me pusiera en contacto con el proveedor de alojamiento en la nube y finalmente se asegurara el acceso público».
Hasta el momento la compañía Microbe & Lab no ha hecho ninguna comunicación oficial ni sobre el incidente ni sobre en quien recae la responsabilidad o el departamento de su custodia. Hasta ahora es imposible determinar cuánto tiempo estuvo realmente expuesta la base de datos.
Según el artículo 33 del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, las violaciones de datos deben ser notificadas a las autoridades locales en un plazo de 72 horas después de la detección, y también se deben realizar notificaciones a las personas afectadas.
La exposición de esta base de datos de pruebas de COVID-19 subraya los riesgos significativos que enfrentamos en la era digital y la necesidad de una acción rápida y eficaz para prevenir estas violaciones de datos en el futuro. La incertidumbre en cuanto a quién es responsable y la falta de respuesta plantean serias preguntas sobre la responsabilidad y la transparencia en la gestión de datos sensibles.