Un reciente descubrimiento ha sacudido la industria sanitaria: casi 1,3 millones de historiales de pacientes, incluida información detallada sobre las pruebas COVID-19, quedaron expuestos en línea tras una brecha de seguridad en Coronalab, un laboratorio con sede en Ámsterdam y uno de los principales proveedores de pruebas COVID en los Países Bajos.

El investigador en ciberseguridad Jeremiah Fowler descubrió esta vulnerabilidad. La base de datos, protegida por contraseña, contenía certificados, citas, muestras de pruebas e incluso archivos internos. Los documentos expuestos llevaban el nombre y el logotipo de Coronalab.eu, que ahora está fuera de línea.

El peligro era palpable: cada registro revelaba el nombre, la nacionalidad, el número de pasaporte, los resultados de las pruebas, así como información como el precio, la ubicación y el tipo de prueba realizada.

Además, se podía acceder a miles de códigos QR y cientos de archivos CSV que contenían detalles de citas y direcciones de email de pacientes. Un regalo del cielo para los ciberdelincuentes, que podrían explotar estos datos o lanzar campañas de phishing selectivas.

Esta brecha vuelve a plantear interrogantes sobre la protección de los datos personales y médicos. En medio de la pandemia, la necesidad de realizar pruebas COVID rápidas en grandes cantidades ha obligado a muchos laboratorios a apresurar la instalación de sus infraestructuras de almacenamiento de datos, aumentando el riesgo de errores de configuración y de exposición de datos sensibles.

Ahora que la emergencia sanitaria está llegando a su fin, es el momento de revisar esta masa de datos acumulados y garantizar su seguridad.

La divulgación pública de las pruebas COVID podría tener consecuencias para la privacidad y la salud de las personas. Además, la cuestión de la confianza en los proveedores de asistencia sanitaria se está volviendo crucial.

Los datos de los pasaportes, en particular, son una mina de oro para los ladrones de identidad. La información contenida en estos documentos, como el número de pasaporte, el nombre completo, la fecha de nacimiento y la nacionalidad, puede utilizarse en diversas actividades fraudulentas.

Por último, el uso de códigos QR para almacenar y transmitir datos confidenciales plantea problemas de seguridad. Si estos códigos se exponen públicamente, pueden modificarse para redirigir a los usuarios a sitios web fraudulentos o incitarles a descargar programas maliciosos.

La filtración de datos de Coronalab es un recordatorio más de la importancia de la ciberseguridad y la protección de los datos personales, especialmente en un sector tan sensible como el sanitario. Es imperativo que las organizaciones revisen sus prácticas, refuercen sus medidas de seguridad para prevenir tales exposiciones y asuman su responsabilidad.

Tomás Gutiérrez
Tomás Gutiérrez

Experto en tecnología y defensor de la protección de datos, combinando pasión por la innovación y compromiso con la seguridad digital