Nuevo capítulo Sanitas: los datos de un millón de usuarios, expuestos en internet

Esta semana se conoció un nuevo capítulo del ciberataque que sufrió el grupo de empresas Keralty, que en Colombia es propietaria, entre otras, de la EPS Sanitas, que tiene más de cinco millones de afiliados, así como las empresas de medicina prepagada Colsanitas y Medisanitas que juntas suman más de 600.000 usuarios. Según información publicada por Volodymyr Diachenko, un ucraniano experto en ciberseguridad, las cédulas, direcciones de residencia, correos electrónicos, números telefónicos, y otros datos relacionados de más de 900.000 usuarios de Sanitas estarían expuestos en internet sin ningún tipo de seguridad.

Esta semana se conoció un nuevo capítulo del ciberataque que sufrió el grupo de empresas Keralty, que en Colombia es propietaria, entre otras, de la EPS Sanitas, que tiene más de cinco millones de afiliados, así como las empresas de medicina prepagada Colsanitas y Medisanitas que juntas suman más de 600.000 usuarios. Según información publicada por Volodymyr Diachenko, un ucraniano experto en ciberseguridad, las cédulas, direcciones de residencia, correos electrónicos, números telefónicos, y otros datos relacionados de más de 900.000 usuarios de Sanitas estarían expuestos en internet sin ningún tipo de seguridad.

Este nuevo episodio, explica Camilo García, periodista especializado en temas de ciberseguridad y editor del blog ‘Mucho Hacker’, no está relacionado directamente con el hackeo que sufrió la empresa a finales de septiembre, pero pone en evidencia una nueva filtración de datos de 999.941 usuarios de Sanitas. García, quien le ha hecho seguimiento al reciente incidente de la empresa Keralty, se puso en contacto con Diachenko para entender esta nueva exposición de datos.

En pocas palabras, según García, toda la información que Sanitas le pedía a los nuevos usuarios para generar una afiliación quedó expuesta en internet “de manera pública, sin ninguna contraseña y a la cual se puede acceder desde cualquier navegador”. Lo primero que Diachenko se encontró fue el formato único de afiliación de Sanitas llenado a mano. Allí se encuentran datos como nombres y apellidos, números de documento de identidad, direcciones de residencia, correos electrónicos, teléfonos celulares, relaciones de parentesco e, incluso en algunos casos, pasaportes escaneados y otros documentos. (Le puede interesar: “La prioridad es restablecer nuestros servicios”: Keralty sobre ciberataque a Sanitas)

En términos más técnicos, apunta el periodista, se encontró un “bucket” de Sanitas, es decir, un servicio de almacenamiento de datos en la nube. Una especie de Google Drive, pero para empresas y con mayor capacidad de almacenamiento. Es un tipo de vulnerabilidad muy común en estos tiempos, según le explicó a El Espectador Andrés Velázquez, investigador del laboratorio de seguridad digital y privacidad de la Fundación Karisma (K+LAB), una organización de la sociedad civil que “busca proteger y promover los derechos humanos y la justicia social en el diseño y uso de las tecnologías digitales”.

Actualmente, continúa Velásquez, muchas personas buscan “buckets” sin seguridad en internet, tanto con buenas intenciones, como Diachenko, como con malas intenciones. Aunque para el investigador de Karisma no es claro que la información filtrada pertenezca a Sanitas, puesto que también pudo haber sido publicada por personas que la extrajeron, concuerda con García en que es información muy sensible, por lo que entidades como la Superintendencia de Industria y Comercio (SIC) deberían intervenir en este caso, investigar sobre quién recae la responsabilidad y tomar las medidas necesarias.

Sin embargo, hay dos atenuantes que deben considerarse en este caso para que las personas cuyos datos fueron expuestos no entren en pánico, advierte Velásquez. El primero, apunta, tiene que ver con que la información está en formato PDF, por lo que no es fácil de procesar, “lo cual no quiere decir que no sea una amenaza a las personas que quedan expuestas; pero sí pone una barrera”. (También puede leer: En 2021, cinco millones de niños en el mundo murieron antes de los cinco años)

El segundo, comenta Pilar Sáenz, coordinadora de proyectos de Karisma y del laboratorio donde trabaja Velasquéz, es que “con el aumento de la digitalización es normal que haya cada vez más brechas de seguridad y que por ende haya más información expuesta”. Es decir, la filtración de datos e información sensible ocurre más seguido de lo que parece.

Si bien hay que reconocer el riesgo que esto implica, dice Sáenz, es necesario cambiar la aproximación a este fenómeno y abandonar el sensacionalismo que suele rodear a estas noticias para evitar el pánico de las personas, pero también para que las empresas puedan dar las explicaciones necesarias y no deban acudir al secretismo con el que suele manejar este tipo de incidentes.

Tanto para Sáenz como para Velasquéz, es claro que en el país tiene que mejorar la cultura sobre seguridad digital. En este proceso “hay unas funciones del Estado, de las empresas privadas y otras de la sociedad civil. Todos podemos ayudar a nadar hacia el mismo lado y es tener espacios más seguros o estar mucho mejor preparado para estos incidentes”, dice la coordinadora de proyectos de Karisma, quien agrega que esto tiene que ser así porque “va a seguir habiendo incidentes. Lo que tenemos que aprender es a manejarlos de mejor manera. Hablando del tema, pero de manera responsable”.

Por ejemplo, el Estado podría mejorar la normatividad vigente obligando a las empresas a informarle a las personas afectadas cuando un incidente de este tipo se presenta, algo que, según Sáenz, “actualmente no es totalmente claro en la ley de protección de datos”. Allí la SIC “debería ser muchísimo más vocal en tratar de que esto se haga”. El Estado también podría fortalecer los procesos de educación al respecto, así como las medidas de protección en sus plataformas, considera la investigadora.

Por el lado de las empresas privadas, sobre todo las que involucran transferencias monetarias como bancos, mercados y otros sitios similares, Velázquez comenta que deben robustecer los procesos de verificación de identidad de sus clientes con el fin de que estos no terminen siendo víctimas de suplantación de identidad.

¿Qué puede hacer una persona si cree que fue víctima de filtración de datos?

Aunque es difícil determinar con precisión las personas que fueron afectadas con exposiciones de datos como la que sufrió recientemente Sanitas, Sáenz recomienda utilizar la página Have I Been Pwned que es “un sitio donde uno puede revisar si su teléfono celular o correo electrónico aparecen en algunas de las filtraciones más famosas de las que hay datos”. (Le recomendamos: Guía para entender el mundo de la ciberseguridad y cómo protegerse en él)

Es posible que, pese a que información personal haya sido expuesta, su correo o número telefónico no salga reportado. Sin embargo, en caso de que la página le arroje un resultado positivo, “eso no significa que usted sea vulnerable, que todo esté mal, que no haya nada que hacer y que entonces hay que apagar el internet. Significa que debe tener protecciones extras”.

¿Por qué es necesario tener protecciones extras?

A grandes rasgos son dos los peligros a los que se enfrentan las personas cuando información sensible, como número de identificación, direcciones residenciales, correos electrónicos, entre otros datos, son expuestos en internet, dice Velasquéz: la suplantación de identidad y la estafa.

Por eso, los expertos de Karisma recomiendan una serie de “tips” que le pueden ayudar a reducir su vulnerabilidad luego de un incidente como este:

• Lo básico es cambiar la contraseña de correos electrónicos y plataformas a las que se accede frecuentemente, como la página de internet de su EPS.
• No se recomienda tener las mismas contraseñas para todas las páginas.
• Se recomienda activar el segundo factor de autenticación de las plataformas donde esta opción esté disponible, aunque se advierte que al activarlo se tenga más de una alternativa para acceder a las cuentas (esto, apunta Sáenz, en caso de que pierda su celular o se lo roben y no pueda activar el segundo factor de autenticación a través de un mensaje de texto).
• Utilizar gestores de contraseña, haciendo la salvedad de que estos no son 100 % seguros, ya que, actualmente, “no hay seguridad al ciento por ciento”, dice la investigadora.
• Tener una “sana desconfianza” cuando reciba llamadas de extorsión o de fraude. “Hay que verificar antes de entregar dinero o hacer consignaciones”, dicen los expertos.

Aunque El Espectador envió un cuestionario a Sanitas para conocer más detalles de este incidente y las medidas que se habían tomado, al cierre de este artículo la empresa no había contestado. Luego de la denuncia realizada por Diachenko y García, se perdió el acceso libre a varios de los documentos expuestos, lo que, según el periodista colombiano, podría deberse a que Sanitas estuviera restringiendo el acceso.

👩‍⚕️⚕️🩺 📄¿Quieres conocer las últimas noticias sobre salud? Te invitamos a verlas en El Espectador. 💉🩹🌡️