Una mala configuración en la base de datos deja al descubierto las terapias empleadas de una empresa de salud mental

Según ha revelado una nueva investigación, miles de datos sanitarios confidenciales, como grabaciones de audio y video de sesiones de terapia, estuvieron a disposición del público en internet. La caché de información, asociada a una empresa sanitaria estadounidense, incluía más de 120,000 archivos y más de 1.7 millones de registros de actividad.

A finales de agosto, el investigador de seguridad Jeremiah Fowler encontró la caché vinculada al proveedor de servicios médicos virtuales Confidant Health expuesta en una base de datos no segura. La empresa, que opera en cinco estados de EE UU, entre ellos Connecticut, Florida y Texas, ayuda a la recuperación de adictos al alcohol y a las drogas, junto con tratamientos de salud mental y otros servicios.

Imagen de rostro identificado por tecnología de biometría
La filtración de datos de una empresa de reconocimiento facial revela un peligro oculto de la biometría

Outabox, una empresa australiana que escaneaba rostros para bares y discotecas, sufrió una brecha que muestra los problemas de dar a las empresas tus datos biométricos.

La sobreexposición de pacientes

Dentro de los 5.3 terabytes de datos expuestos había detalles extremadamente personales sobre pacientes que van más allá de las sesiones de terapia. Los archivos que vio Fowler incluían informes de varias páginas de las notas de admisión psiquiátrica de las personas y detalles de los historiales médicos. «Al final de algunos de los documentos se leía ‘datos sanitarios confidenciales'», puntualiza.

Por ejemplo, un archivo de admisión psiquiátrica de siete páginas, que parecía estar basado en una sesión de una hora con un paciente, detalla problemas con el alcohol y otras sustancias, incluyendo cómo el paciente afirmaba haber tomado «pequeñas cantidades» de narcóticos del suministro del hospicio de su abuelo antes de que el familiar falleciera. En otro documento, una madre describe la relación «contenciosa» entre su marido y su hijo, incluyendo que mientras su hijo consumía estimulantes acusó a su pareja de abuso sexual.

Los documentos sanitarios filtrados incluyen algunas notas médicas sobre el aspecto de las personas, su estado de ánimo, su memoria, sus medicamentos y su estado mental general. Una hoja de cálculo vista por el investigador parece enumerar a los miembros de Confidant Health, el número de citas que han tenido, los tipos de citas y más.

Fowler añade que algunos de los archivos eran audios y videos de sesiones de pacientes. «Hay algunos traumas familiares desgarradores, realmente dolorosos, traumas personales. Es casi como si te revelaran tus secretos más oscuros que has contado en tu diario, y son cosas que nunca quieres que salgan».

Junto a los historiales médicos había archivos de administración y verificación, incluidas copias de permisos de conducir, documentos de identificación y tarjetas de seguros, reconoce Fowler. Los registros también contenían indicios de que algunos datos son recopilados por chatbots o inteligencia artificial (IA), haciendo referencias a avisos y respuestas predeterminadas a preguntas.

Huellas dactilares sobre papel en tono rojo
Una filtración oficial en India expone el peligro detrás de la recopilación de datos biométricos

Miles de huellas dactilares e imágenes faciales vinculadas a la policía de India fueron expuestas en internet. Los investigadores sostienen que es una advertencia de lo que ocurrirá a medida que aumente la recopilación de datos biométricos.

¿Y qué dice la empresa?

Confidant Health cerró rápidamente el acceso a su base de datos después de que Fowler se pusiera en contacto con el equipo. Aunque el investigador no descargó ninguno de los datos filtrados, afirma que una parte de los 120,000 archivos tenían algún tipo de protección mediante contraseña. Para poder alertar a la empresa, Fowler revisó unos 1,000 archivos y explica que no es habitual que una base de datos expuesta incluya tanto archivos bloqueados como desbloqueados.

En una declaración a WIRED, el cofundador de Confidant Health, Jon Read, declara que la empresa se toma muy en serio los problemas de seguridad y «no está de acuerdo con la naturaleza sensacionalista» de los hallazgos. Read manifiesta que una vez que la empresa fue notificada de la «configuración incorrecta», el acceso a los archivos expuestos fue «arreglado en menos de una hora».

Jose Alexis Correa Valencia

Consultor de sistemas informáticos avanzados con más de 25 años de experiencia en el sector privado. Su carrera se ha enfocado en el análisis y diseño de sistemas, la instalación y configuración de hardware y software, así como en la administración de redes para diversas empresas. Además, ha tenido el privilegio de ser capacitador en temáticas avanzadas, especializándose en el manejo de datos en línea, la seguridad de transacciones y los multimedios.

Ver todas las entradas