Datos personales de 16 millones de pacientes brasileños con COVID-19 expuestos en línea

La información personal y de salud de más de 16 millones de pacientes brasileños con COVID-19 se filtró en línea después de que un empleado del hospital cargara una hoja de cálculo con nombres de usuario, contraseñas y claves de acceso a sistemas gubernamentales sensibles en GitHub este mes.

En un comunicado de prensa publicado por el hospital, la institución dice haber tomado conocimiento de lo que ocurrió cuando “un colaborador contratado para prestar servicios al Ministerio de Salud había archivado información de acceso a determinados sistemas sin la protección adecuada”. Asimismo, la nota asegura que la información fue removida inmediatamente y que se reportó lo que ocurrió al Ministerio de Salud para que se lleven adelante las medidas correspondientes para asegurar la protección de la información.

En tanto, el Ministerio de Salud informó que el Departamento de Informática de SUS (DataSUS) revocó los accesos para los nombres de usuario y contraseñas que estaban incluidos en la planilla que se subió de forma pública, afirmó el portal G1 del Grupo Globo.

Por su parte, en un comunicado del ministerio, la institución asegura que, si bien las credenciales filtradas no permiten el acceso directo a la información personal y que se necesitan de otros factores técnicos para llegar a los datos, están monitoreando la web ante la posibilidad de que la información expuesta pueda ser replicada en algún sitio.

Entre los sistemas que tenían credenciales expuestas se encontraban E-SUS-VE y Sivep-Gripe, dos bases de datos gubernamentales que se utilizan para almacenar datos sobre pacientes con COVID-19.

Se utilizó E-SUS-VE para registrar pacientes con COVID-19 con síntomas leves, mientras que Sivep-Gripe se utilizó para realizar un seguimiento de los casos hospitalizados.

Las dos bases de datos contenían detalles confidenciales como nombres de pacientes, direcciones, información de identificación, pero también registros de salud como historial médico y regímenes de medicación.

La filtración salió a la luz después de que un usuario de GitHub vio la hoja de cálculo que contiene las contraseñas en la cuenta personal de GitHub de un empleado del Hospital Albert Einstein en la ciudad de Sao Paolo.

Posteriormente, el usuario notificó al diario brasileño Estadao, que analizó los datos y notificó al hospital y al Ministerio de Salud de Brasil.

Los reporteros de Estadao dijeron  que los datos de los brasileños en los 27 estados se incluyeron en las dos bases de datos, incluidas figuras de alto perfil como el presidente del país, Jair Bolsonaro, la familia del presidente, siete ministros del gobierno y los gobernadores de 17 estados brasileños.

La hoja de cálculo finalmente se eliminó de GitHub mientras los funcionarios del gobierno cambiaban las contraseñas y revocaron las claves de acceso para volver a proteger sus sistemas.

Desde el inicio de la pandemia de COVID-19, varios gobiernos y contratistas gubernamentales han tenido problemas para proteger sus aplicaciones y bases de datos relacionadas con COVID-19.

Según una investigación publicada por Intertrust en septiembre, alrededor del  85% de las aplicaciones de rastreo de contactos COVID-19 filtran datos  de una forma u otra.