El último 15 de agosto, el informe “Alerta integrada de seguridad digital”, elaborado por la PCM y otras instituciones como el Centro Nacional de Seguridad Digital, la Direcciónn Nacional de Inteligencia, Asbanc, entre otras, advirtió de una filtración de datos de 44 mil pacientes del Minsa.
En este caso, fue el Centro de Ciberdefensa del Ejército del Perú el que dio a conocer que se identificó que un ciberdelincuente puso a la venta en un foro de la deep web información sensible de miles de personas. Los datos ofrecidos a cualquier postor por el usuario “Leriwey” incluían documentos de identidad, nombres completos, género, historia clínica, domicilio, entre otros.
Según Erick Iriarte, CEO de eBIZ Latin America y experto en derecho digital, esta filtración podría tener tres causas.
La primera causa es de carácter técnico, según Iriarte. “Falta de seguridad, no se activó el protocolo, no se actualizó el sistema o no había algún protocolo tecnológico”, dice el especialista. A partir de esa falla, el hacker pudo haber obtenido la información mediante phishing o ransomware.
La segunda causa pudo haber sido de tipo humano. En ese caso, hay dos escenarios, de acuerdo con Iriarte: alguien tomó la información, la copió y se la llevó o, por negligencia. “Por ejemplo, el encargado de actualizar el sistema ese día se olvidó”, dice.
Por último, la tercera causa podría estar relacionada a una mala gestión del proveedor de servicio, si es que este está tercerizado.
En el informe se recomienda contactar inmediatamente a la Policía Nacional del Perú para investigar el caso. Sin embargo, no se sabe si este ha sido reportado por el Minsa.
Uso de la información
De acuerdo con Martina López, security researcher del Laboratorio de ESET Latinoamérica, la información se utiliza para otros ataques, además de la reventa. “Quienes vean su información comprometida en brechas de datos, suelen ser más propensos a recibir engaños dirigidos y más sofisticados. Para esto utilizan los datos recolectados y pueden llevar a cabo campañas de phishing regulares, de vishing (o phishing telefónico), de spam, entre otras”, dice. Por ejemplo, al conocer la historia clínica de un paciente, es más fácil para el delincuente estafar a una persona con la venta de algún seguro o tratamiento. De otro lado, Iriarte sostiene que en muy pocos casos algunas compañías compran esta información con fines comerciales. “Quien brinda productos y servicios tiene que entender que las bases de datos para promocionar entre sus clientes no puede ser obtenida de manera ilícita”, dice.
Asimismo, el valor que se suele pagar variará según la cantidad de registros y la sensibilidad de los mismos. “El precio podría cambiar tanto como el cibercriminal quiera: desde US$ 100, US$ 200 a más”, cuenta.
LAS CLAVES
Modo. El hacker pudo haber actuado como “lobo solitario”, aunque cada vez es más frecuente la organización criminal.
Carencia. Se necesitan entre 30 mil y 50 mil expertos en ciberseguridad en el sector público y privado.
Investigar. Es común que resurjan ataques con la misma información o que se trate de datos falsificados.
“La mayoría de estos casos son de informática forense. La Autoridad Nacional de Protección de Datos Personales y el Minsa deben investigar ”.