Los números de seguridad social de los pacientes se han visto comprometidos en una violación de datos de atención médica de MU
Las personas tienden a olvidar que la tarea más importante después de descubrir una violación de datos es proteger la privacidad del usuario. En cambio, a menudo se centran en averiguar quién o qué tiene la culpa del incidente. Tomemos este enfoque por un momento y veamos quién es responsable de la violación que informó Missouri Health Care (MU Health Care) la semana pasada.
Table of Contents
Se accedió a los datos de los pacientes de MU Health Care a través de cuentas de correo electrónico comprometidas
Hace aproximadamente ocho meses, se hizo evidente que algunos estudiantes de la Universidad de Missouri afiliados a MU Health Care habían visto comprometidas sus cuentas de correo electrónico. El "individuo no autorizado" entró por primera vez el 19 de septiembre de 2019, y aunque MU Health Care se enteró del ataque el 21 de septiembre, la violación no se selló hasta el 26 de septiembre.
Dentro de las bandejas de entrada de los estudiantes, los ciberdelincuentes encontraron una gran cantidad de información personal perteneciente a pacientes de MU Health Care, incluidos nombres, fechas de nacimiento, datos del seguro de salud, tratamiento "limitado" e información clínica, y "un pequeño número" de Seguridad Social números. El ataque fue seguido por una larga investigación durante la cual MU Health Care logró identificar a todos los pacientes afectados. Sin embargo, por alguna razón, el anuncio no menciona cuántas personas tuvieron su información expuesta.
MU Health Care: fue un ataque de relleno de credenciales
El anuncio de MU Health Care se apresuró a señalar que los piratas informáticos lograron entrar en las cuentas de correo electrónico debido a las malas habilidades de administración de contraseñas de los estudiantes. Según el comunicado de prensa, tenían cuentas en un servicio de terceros que se violaron. En dicho servicio, estaban usando nombres de usuario y contraseñas idénticos a los que protegían sus correos electrónicos, y los piratas informáticos se aprovecharon de esto. En otras palabras, fueron golpeados por un ataque de relleno de credenciales.
MU Health Care está tratando de explicar que sus sistemas no se vieron comprometidos y que la única razón de la violación es la reutilización de la contraseña de los estudiantes. De hecho, todo el concepto de relleno de credenciales es posible por el hecho de que las personas usan contraseñas idénticas para muchos servicios diferentes, y esta es solo la última de una línea de ataques aparentemente interminable que muestra cuán graves podrían ser las consecuencias de esto.
Muchas personas pueden llegar a la conclusión de que los únicos responsables de esta violación son los estudiantes. Sin embargo, un poco de contexto podría cambiar su opinión.
Esta no es la primera violación para MU Health Care
En abril de 2019, varios meses antes de este incidente, MU Health Care sufrió una violación muy similar. En ese caso, las cuentas de correo electrónico de algunos de los empleados de la organización se vieron comprometidas y, dentro de ellas, los piratas informáticos encontraron los datos personales de más de 14 mil pacientes. Cuando anunció el ataque unos meses más tarde, MU Health Care no pudo decir cómo los delincuentes lograron entrar, y tampoco nos dijo qué tipo de medidas está tomando para proteger a los pacientes contra ataques similares.
Puede parecer lógico introducir la autenticación de dos factores (2FA) para las cuentas de correo electrónico afiliadas después de tal violación. Algunos incluso podrían decir que su cumplimiento es el primer paso hacia una mejor protección de los datos de los pacientes. Desafortunadamente, MU Health Care decidió no hacerlo, lo cual es una pena porque habría detenido el ataque de septiembre de 2019.
