LabCorp no puede tomar un descanso cuando se revela una nueva violación de datos
La participación de una organización de atención médica en un incidente de ciberseguridad nunca puede ser una buena noticia. Si tiene que lidiar con dos ataques separados en el lapso de menos de once meses, es aún más preocupante, y cuando sus clientes tienen que sufrir las consecuencias de tres violaciones de seguridad no relacionadas en aproximadamente un año y medio, es seguro decir que Los problemas son bastante significativos. Desafortunadamente, esto es exactamente lo que le sucedió a LabCorp, una de las redes de laboratorios más grandes del mundo. A fines de enero, se hizo evidente que sus clientes estaban en riesgo por tercera vez en poco más de 18 meses, y esta violación parece ser más grave que las dos anteriores. Sin embargo, antes de comenzar, recordemos los problemas pasados de seguridad cibernética de LabCorp.
El primer incidente tuvo lugar en julio de 2018. En aquel entonces, LabCorp detectó actividad sospechosa en sus sistemas, que luego resultó que fue causada por el ransomware SamSam. El equipo de TI eliminó las computadoras y servidores afectados, y la amenaza se contuvo relativamente rápido. LabCorp aparentemente tenía copias de seguridad, y la situación se resolvió sin que ningún dato sensible se perdiera o se filtrara.
Las cosas fueron un poco diferentes en junio de 2019 cuando LabCorp admitió que una violación de datos había puesto en riesgo la información personal y financiera de alrededor de 7.7 millones de pacientes. La cara de la red de laboratorios se salvó en cierta medida por el hecho de que el ataque no estaba dirigido a LabCorp. En cambio, la violación de datos ocurrió en la American Medical Collection Agency (AMCA), una compañía de facturación que estaba trabajando con bastantes organizaciones de atención médica. El ataque fue de hecho masivo, y las consecuencias fueron tan horribles que AMCA pronto no tuvo más remedio que declararse en bancarrota.
LabCorp no tuvo la culpa de ese incidente en particular. Sin embargo, para la última infracción, la responsabilidad recae únicamente en la red de laboratorios.
Table of Contents
Un error de seguridad en el sitio web de LabCorp pone en riesgo miles de documentos.
El mes pasado, Zach Whittaker de TechCrunch descubrió una falla con el sistema interno de gestión de relaciones con el cliente (CRM) de LabCorp. El sistema en sí estaba conectado a Internet, pero estaba protegido por una contraseña. Sin embargo, Whittaker descubrió que una de las partes más importantes del CRM, el mecanismo que extrae los documentos médicos de los pacientes del backend de LabCorp, era accesible sin autenticación.
En palabras de Whittaker, "cualquiera que supiera dónde buscar" podría localizar la fuga de datos, y para su horror, el periodista descubrió un documento que Google ya había rastreado y almacenado en caché. Para empeorar las cosas, Whittaker también se dio cuenta de que al incrementar el nombre del documento (que era visible en su barra de direcciones) podía obtener acceso a otros archivos.
El reportero de TechCrunch utilizó un script de computadora para automatizar el proceso y obtener una mejor comprensión del alcance de la violación. En lugar de escanear el contenido de todos los documentos, su programa solo consultaría al servidor por la existencia de archivos con nombres incrementalmente diferentes. Resultó que la respuesta fue positiva para no menos de 10 mil documentos.
Los documentos expuestos filtraron mucha información confidencial
Whittaker quería entender qué tan grave era la fuga antes de informarla a LabCorp. Tomó una pequeña muestra de los documentos expuestos y los abrió para ver qué había en ellos. Los archivos contenían nombres, fechas de nacimiento, resultados de pruebas de laboratorio e informes de diagnóstico. En algunos casos, los números de Seguridad Social de las personas también estaban disponibles en los documentos.
Dada la naturaleza de la información filtrada, LabCorp podría estar enfrentando fuertes multas bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), pero quizás más preocupante, los detalles expuestos hacen que las personas afectadas sean objetivos principales para el robo de identidad. Es por eso que Whittaker no perdió el tiempo informando a LabCorp sobre el error, y el servidor pronto se desconectó.
LabCorp es reacio a hablar sobre el incidente.
A Zack Whittaker no le fue fácil confirmar que los datos filtrados eran genuinos. Algunas de las personas afectadas con las que intentó contactar habían fallecido, mientras que otras no respondieron a sus intentos de ponerse en contacto. Una persona dijo que la información en el archivo era real, pero debe decirse que incluso sin su confirmación, no debería haber ninguna duda en la mente de que los documentos expuestos contienen datos válidos. Después de todo, el reportero de seguridad cibernética de TechCrunch los descubrió en el servidor de LabCorp, y la compañía de laboratorio cerró la fuga.
A pesar de esto, LabCorp se niega a emitir una declaración oficial sobre el asunto. Los dos incidentes de ciberseguridad anteriores se pusieron en conocimiento del público gracias a los documentos presentados ante la SEC, pero ahora, LabCorp no está dispuesto a dar nada más que una breve respuesta de un portavoz. La compañía le dijo a TechCrunch que el error ahora ha sido eliminado y prometió informar a los pacientes afectados. LabCorp realmente no puede negar el hecho de que los documentos filtrados fueron alojados en sus servidores, pero según TechCrunch, se niega a confirmar que los archivos contienen "información de LabCorp".
No estamos seguros de si esto le está haciendo algún favor a la empresa con sede en Carolina del Norte. Es la tercera vez que LabCorp aparece en las noticias por todas las razones equivocadas y, a diferencia de los dos primeros incidentes, esta vez no parece ser particularmente transparente al respecto. Con suerte, alguien se dará cuenta de que esta no es una muy buena estrategia, y muy pronto, escucharemos más sobre la posible exposición directamente de la boca del caballo.
