Nombre completo, cédula, dirección de la casa y hasta aspectos como fecha del nacimiento reciente de su bebé o de la persona que le afilió a la EPS, están disponibles en una URL de fácil acceso.

“De lo que yo pude ver, pues están los formularios de afiliación. Ahí están todos los datos personales. Estoy hablando de nombres, cédula, correo, teléfono beneficiario, que si tiene hijos, si no tiene hijos, dónde vive, quién es su empleador, dónde trabaja, cuál es el teléfono. También el lugar donde trabaja, los documentos que se anexan. Por ejemplo, los contratos. Vi un contrato de una persona del Ejército. Están cédulas escaneadas, consignaciones, número de unas cuentas de consignación, comprobantes de pago. Están contraseñas de menores de edad con su foto, con sus datos… No encontré información médica, me tocaría empezar a buscar, pero no, no voy a hacerlo”, explicó Camilo García.

Imagen de uno de los documentos de afiliación, que estarían divulgados en internet. | Foto: Captura de pantalla del blog de Camilo García

García, quien a través de su cuenta de Twitter publica detalles de seguimientos a este tipo de casos, precisó que pudo ver los documentos. “Digamos, cinco paquetes de documentos, porque cada URL tiene varios documentos en total. Yo pude ver unos 50 documentos de todo tipo que están en cada URL a la que puede tener acceso”.

Agregó que, en números, son 999.941 usuarios de Sanitas que estarían expuestos sin ningún tipo seguridad o filtro. Ahora, se recordará que fue noticia a finales del año pasado el ataque cibernético a Sanitas.

Y aunque se tienda a relacionarlo con ese hecho, la publicación de estos datos, según dos analistas, se debe a otra razón mayor. Tiene que ver con un servicio de Google que la entidad usa. Se llama Google Cloud Platform y sirve para alojar grandes volúmenes de información, en buckets que son como un disco duro pero en la nube, en internet.

Imagen de la plataforma de libre acceso en la que estarían disponibles datos personales de los afiliados a Sanitas. | Foto: Captura de pantalla del blog muchohacker.lol

“Entonces la hipótesis que se tiene es que este bucket no tiene unas medidas mínimas de seguridad y acceder a esa documentación se hace muy sencillo porque se tiene una URL y la URL es como la raíz y se pueden manejar diferentes números y cada número tiene diferente información de diferente cliente. Entonces se debe a que no hay un correcto manejo de la información en grandes volúmenes de datos alojados en Google Cloud Platform”, sostuvo el periodista.

¿Cómo se supo de esta situación?

García advierte que las URL y los datos prácticamente un millón de afiliados han estado divulgados desde hace días.

“Los analistas que descubren este tipo de cosas generalmente informan a las empresas para que solucionen el tema. Bob Diachenko, informó a finales de diciembre. Cuando él hizo el post en su Twitter, ya habían pasado dos semanas sin que nadie le pusiera atención. No obtuvo respuesta de Sanitas y yo creo que una de las razones por las cuales se contactó conmigo, es porque yo para otro caso me había contactado con él”, relató Camilo.

Tweet en el que Bob Diachenko insistió en la exposición de millones de documentos de afiliados a Sanitas. | Foto: Captura de pantalla @MayhemDayOne

Cabe señalar que este tipo de fallas en la nube se ha presentado con otras empresas como Amazon y, en otros casos, aunque no se publican sí se detectan errores.

“No sé exactamente cómo Bob Diachenko pudo acceder a esa URL. Lo que sí sé es que este analista se dedica a descubrir este tipo de eventos en espacios de Cloud como este. Una de las cosas que él hace como analista de ciberseguridad es detectar esa información que no es tan sencilla como googlearla. Él ya ha hecho en el pasado varias publicaciones similares. Él advirtió esto mismo que está pasando en Sanitas a una en una joyería en Estados Unidos, que allá fue peor porque estuvieron las contraseñas expuestas”, agregó.

Lo que preocupa de los datos publicados

En plena era digital, la privacidad y el manejo de datos son temas altamente sensibles, porque la información personal, en manos inadecuadas, da poder y facilita estafas, suplantaciones, amenazas o phishing para descubrir contraseñas.

“Con la huella se pueden hacer mil cosas. Pude ver cuatro huellas con el número de la dirección de la casa, con el número de celular, con el dato nada más del correo electrónico junto al número telefónico. Es muy grave, que esté en línea, porque por ahí se pueden hacer, en términos de ciberataques y de hackers, muchas cosas. Cualquier delincuente que pudiera tener cualquier otro esta información podría hacer miles de cosas. Es casi que innumerable la cantidad de procedimientos que se pueden hacer y por eso los datos que son privados deberían custodiarse correctamente”, concluyó Camilo García, en entrevista con SEMANA.

Finalmente, aunque este medio ha buscado respuestas con el equipo de comunicaciones de la EPS, por ahora no hay una respuesta oficial.