Pacientes con VIH, mujeres que pidieron la píldora del día después y personas con enfermedades mentales. Todos con nombre, RUT y domicilio estaban disponibles hasta este viernes 4 de marzo en la plataforma computacional del Ministerio de Salud (Minsal). Cualquiera de sus 100 mil funcionarios, e incluso personas externas, podían acceder a esa información privada.
De esta manera, una investigación de Ciper informó una de las peores vulneraciones de la seguridad informática en materia de salud, ya que hubo al menos 3 millones de archivos desprotegidos durante meses. Según Ciper, esta alerta se efectuó hace 10 meses, pero ni el Minsal ni Entel -la empresa que presta este servicio de red- actuaron.
En 2014, una joven de 19 años acudió a un centro médico del Servicio de Salud Metropolitano Central (SSMC) para solicitar Levomorgestrel, comúnmente conocida como la pastilla del día después, ya había sufrido de un abuso sexual. El registro de esta consulta quedó en la red informática del Ministerio de Salud, junto a los nombres y datos personales de todas aquellas mujeres que solicitaron la misma píldora desde 2012 hasta 2015 a lo largo de Chile.
Ciper informó que el registro que durante 10 meses estuvo desprotegido en la red, llevaba todos los antecedentes personales de máxima privacidad: el nombre de cada paciente, rut, domicilio, descripción del caso y el medicamento entregado.
La red del Minsal permitía que solo los funcionarios autorizados pudieran consultar esta información, pero esta situación no ocurrió por casi un año, ya que la red permitió a cualquier funcionario ingresar a esos archivos.
Hasta la noche del viernes 4 de marzo, cerca de 100 mil empleados de Minsal más los empleados de los consultorios desde Arica a Magallanes, podían acceder a las llamadas "carpetas compartidas" de la red del Minsal.
Al Ciper descubrir esta grave situación, durante la tarde del viernes 4 concurrió al despacho de la ministra de Salud, Carmen Castillo, y le informó de la falla de seguridad.
"Una vulnerabilidad que, tal como lo constató CIPER haciendo pruebas desde tres puntos distintos, incluye que se podía ingresar a esas “carpetas compartidas” desde fuera de los establecimientos de Salud, ya que hay computadores del ministerio y centros de atención que tienen instalados un programa de acceso remoto", así consignó Ciper.
En el despacho de la ministra, Ciper hizo las pruebas que demostraron que la red era vulnerable y ante esto "la ministra Carmen Castillo se mostró consternada por la situación y ordenó de inmediato a los equipos técnicos del Minsal bloquear los archivos, al tiempo que afirmó que adoptará “todas las medidas técnicas, administrativas y legales” para proteger la información privada de los pacientes", aseguró el centro de investigación.
Luego de esta reunión, se logró resolver la falla en la red del Minsal, se ordenó el bloqueo automático de los accesos a las carpetas compartidas, y desde hoy ya no se puede acceder abiertamente a la información completa de los pacientes.
Revisa la nota de Teletrece