Tel: (601)7425944
Bittin

Linkedin

Todos los derechos reservados BITTIN 2015
Tel. (601) 7425944 - (+57) 305 7309799 – Dirección: Cr 7 # 29-34 Bogotá Colombia

El riesgo que corre la información que tienen las EPS

Bogotá D.C. 31 de octubre de 2016

Al parecer muchas de las EPS del país no tienen sistemas de control adecuados en cuanto al registro y privacidad de la información de los usuarios, con tener solo el número de cedula de un paciente cualquier persona podría acceder a su información personal e incluso a su historial médico y resultados de exámenes.

El caso más grave se presenta con la EPS Cafesalud, pues solo con el número de cedula o documento del paciente se puede ingresar a su información personal y conocer su historial médico lo que evidentemente pone en riesgo la privacidad y tranquilidad de la persona, pero no solo se puede visualizar, además se podría modificar gran parte de los datos, lo que inevitablemente llevaría a un colapso total del sistema y en los peores casos ataques de bullying o extorción a los afiliados.

Las fallas del sistema de información de Cafesalud fueron reportadas desde enero de 2016; el experto en seguridad informática Richard Oliveros, remitió un correo a empleados de HEON (firma que diseño el programa) alertando sobre las vulnerabilidades que se presentaban, haciendo además una prueba con el número de documento de sus familiares afiliados a esta EPS, en el que indicaba la posibilidad de acceder a documentación de usuarios, incapacidades y exámenes de laboratorio pero a la fecha no se ha resuelto la falla.

La Superintendencia de Industria y Comercio es la encargada de vigilar a las empresas y velar por la seguridad de la información, sin embrago no son ellos quienes analizan y detectan estas fallas, solo se atienen a los reportes que les entregan y las auditorias revisadas lo cual no es muy favorable y confiable, por lo general estas fallas son encontradas por profesionales y expertos en seguridad que están en busca de fallas para informar a los directos involucrados de modo que se tomen las medidas o sean asignadas a ellos ya que por lo general pertenecen a empresas de seguridad de la información que ofrecen estos servicios, que se podrían llamar como “hackers éticos”.

A pesar de que este es el caso más visible no supone que no hallan otros, varias EPS presentan estas u otras vulnerabilidades, como es el caso de Colsanitas, que con tener los datos expresados en el documento de identidad, lo que se muestra en una fotocopia de este, cualquier persona puede acceder a esa información confidencial del usuario, si bien la compañía supone que estos datos solo los posee el usuario, considera adecuados los esquemas de validación pero el acceso a esta información es más fácil de lo que creen; otro caso fue el de Colmedica que ya fue multada por la superintendencia al encontrarse la filtración de los datos de una treintena de usuarios en los motores de búsqueda de Google.

En Colombia no hay una normatividad que exija mayores controles o esquemas de seguridad o validación para el acceso a los portales e información del usuario, por tanto las compañías no ven la necesidad de ejecutarlas, sin embargo en caso de que estas fallas fueran explotadas por delincuentes se generaría un desastre y colapso en muchos sistemas y a esto nos referimos a todos los sectores incluyendo a entidades del gobierno que tampoco posee esquemas altos de seguridad, con solo ampliar el sistema de verificación al correo electrónico o mensajes de texto se reforzaría la seguridad y tranquilidad para los usuarios.

Fuente: Pulzo.