Expedientes Médicos en México Vulnerables a Ciberataques

La seguridad de la información médica está en crisis. Más de 8 mil pacientes y trabajadores de Paz Mental, una empresa dedicada al cuidado y rehabilitación de adultos mayores en México, han visto su información expuesta debido a una grave vulnerabilidad. Desde diciembre de 2024, el investigador de ciberseguridad JayeLTee alertó sobre la filtración de 67 GB de datos clínicos, personales y financieros, pero hasta ahora, la empresa no ha tomado ninguna medida para solucionar el problema.

Pensar que datos tan sensibles puedan quedar al alcance de cualquiera parecía impensable hace unos años. Hoy, es una amenaza real. ¿Cómo sucedió esto? ¿Por qué los sistemas de salud son un blanco fácil para los ciberdelincuentes? Y lo más preocupante: ¿qué riesgos enfrentan los pacientes y qué se puede hacer para evitarlo? 

Cerca de 160 mil archivos están accesibles para cualquiera. (Fuente: Publimetro) 

¿Qué tipo de información quedó expuesta?

La filtración no es menor. Se trata de miles de datos sensibles que nunca debieron estar accesibles para cualquiera. Entre la información comprometida se encuentran:

1. Expedientes médicos completos: Diagnósticos de fisioterapia, evaluaciones psiquiátricas, antecedentes médicos detallados y trastornos de salud.
   
   
2. Datos personales de pacientes: Nombres, teléfonos, direcciones y, en algunos casos, hasta su religión.
   
   
3. Registros de decisiones médicas: Información sobre autorizaciones de resucitación, con los datos de los familiares responsables.
   
   
4. Información de pacientes extranjeros: Datos de ciudadanos de Colombia y otras nacionalidades atendidos por la empresa.
   
   
5. Información de empresas asociadas: Documentos de compañías como Vitality Mérida (Yucatán) y Nueva EPS (Colombia), lo que indica una posible filtración en cadena.
   
   
6. Fotografías de incidentes médicos: Imágenes sensibles utilizadas para valoraciones médicas.
   
   
7. Registros financieros: Comprobantes de pago con nombres de pacientes, montos, vendedores y direcciones.
   
   
8. Identificaciones escaneadas: Credenciales de elector, lo que puede facilitar fraudes de identidad.
   
   
9. Datos de médicos y enfermeras: Cédulas profesionales, CURP, identificaciones, firmas digitalizadas (que podrían usarse para falsificar documentos médicos), cartas de no antecedentes penales, actas de nacimiento y más.
   
   
10. Información laboral del personal: Detalles de contratación, horarios y datos de más de 8,484 trabajadores.
    
    
11. Fotografías del personal: Imágenes de doctores y enfermeras de diferentes agencias.
    
    
12. Reportes de seguimiento de pacientes: Información detallada sobre su estado de salud, tratamientos y evolución médica.
    
    
13. Datos bancarios parciales: Información que, aunque incompleta, podría ser utilizada para ataques de phishing.

Te podrá interesar leer:  Venta de Accesos a Correos Gubernamentales de México en la Dark Web

Un peligro real: Fraude, extorsión y robo de identidad

Cuando información tan sensible queda expuesta, los riesgos son enormes. Expertos en ciberseguridad han advertido que este tipo de filtraciones pueden ser aprovechadas por delincuentes para cometer fraudes, suplantar identidades e incluso extorsionar a empresas y pacientes.

En el peor de los casos, los datos filtrados podrían ser utilizados por estafadores para hacerse pasar por la clínica o por médicos, engañando a los pacientes y a sus familias para obtener dinero o información adicional.

Además del riesgo de robo de identidad y fraude financiero, la falta de protección de estos datos también podría derivar en ataques de ransomware, donde los ciberdelincuentes bloquean la información a cambio de un rescate. Por si fuera poco, las instituciones responsables podrían enfrentar sanciones legales y económicas por incumplir normativas como la Ley General de Protección de Datos Personales y la NOM-024-SSA3-2012, que regulan la seguridad de la información en el sector salud.

Pero el impacto no solo es financiero o legal. La filtración de datos médicos, administrativos y personales también pone en jaque la confianza de los pacientes en los servicios de salud. La falta de acción para corregir estas vulnerabilidades solo agrava el problema, dejando a miles de personas expuestas a riesgos que podrían haberse evitado.