Brechas_Seguridad_Coronavirus

Brechas de Seguridad Coronavirus

    Sin lugar a dudas, los centros de pruebas coronavirus son una herramienta fundamental en la lucha contra la pandemia de COVID-19. Antes de que se dispusiera de una vacuna suficiente para inmunizar a la población, las pruebas de antígeno y PCR, junto con las restricciones de contacto, eran probablemente los medios más eficaces para frenar la propagación del virus.

    Pero incluso casi dos años después del estallido de la pandemia, se están formando largas colas frente a los centros de pruebas de todo el país debido a la sexta ola, la disminución de la protección de la vacuna, así como la propagación de la variante Omikron.

    Los centros de pruebas fueron noticia no sólo por el fraude sistemático en la facturación, sino también por las medidas de seguridad de los datos, parcialmente inadecuadas. Por supuesto, había que crear los centros rápidamente, pero ¿a qué precio?

    Resultados de las pruebas (demasiado) accesibles

    El año pasado se conocieron una y otra vez las brechas de seguridad en los centros de pruebas, lo que hizo que cientos de miles de resultados de exámenes fueran accesibles casi sin protección a través de Internet. En 2020 era posible acceder a unos 400.000 registros de datos de las personas sometidas a prueba con sólo unos pocos conocimientos de informática o suficiente curiosidad. También era posible manipular o generar las propias pruebas.

    Fue muy fácil ampliar los derechos de los usuarios a nivel horizontal. Después de iniciar la sesión, la persona sometida a la prueba sólo tenía que acortar la URL en una cantidad determinada y luego tenía acceso a un conjunto de datos de 400.000 resultados de pruebas. En ella figuraban el nombre, la dirección de correo electrónico, la fecha de nacimiento, el sexo, el número de teléfono, la dirección y, en algunos casos, el número de pasaporte o de documento de identidad de la persona sometida a la prueba. Además, era posible recuperar los resultados de las pruebas de todas las demás personas examinadas, incluido el código QR, cambiando el ID de orden asignado al respectivo documento PDF con el resultado de la prueba.

    Con algunos conocimientos básicos sobre la estructura de dichas plataformas web y la falta de mecanismos de autenticación, también fue posible llamar al archivo original del certificado de la prueba como un empleado del centro de pruebas y generar certificados en PDF. De este modo, la información del archivo podría modificarse a voluntad y, por tanto, se podrían crear certificados de prueba falsos.

    Estos percances con los datos son evitables.

    En el caso descrito, no hace falta ser un experto para reconocer que las medidas técnicas adoptadas eran inadecuadas. Si los proveedores de la plataforma hubieran tenido en cuenta el ABC del desarrollo de aplicaciones web y especialmente el TOP 10 de OWASP, hubiera sido muy improbable que se produjeran estas graves brechas de seguridad. Las deficiencias correspondientes también habrían sido objetadas en el curso de una prueba de penetración y podrían haber sido remediadas en consecuencia antes de que se produjera el daño.

    Cementerios de datos (inseguros)

    Es de temer que en el futuro también se produzcan percances de datos comparables, aunque el centro de pruebas ya se haya cerrado entretanto. Debido al Reglamento de Ensayos Coronavirus, los resultados de los ensayos deben mantenerse sin cambios hasta finales de 2024.

    Con un número de casi dos millones de pruebas al día (y en aumento), es fácil calcular las masas de datos que ya se han creado y que se añadirán. Si el centro de pruebas no transfiere los resultados de las pruebas a un sistema de archivo debidamente protegido, los atacantes podrían conocer los conjuntos de datos almacenados de las aplicaciones web y posiblemente explotar las brechas de seguridad existentes. Por lo tanto, los operadores de los centros de pruebas deben seguir teniendo mucho cuidado para proteger adecuadamente los «cementerios de datos» resultantes.

    Outlook

    Mientras tanto, los centros de pruebas se han convertido en una parte integral y elemental de la lucha contra la pandemia y muchos operadores actúan a conciencia y toman las medidas adecuadas para proteger los datos sensibles. Sin embargo, las lagunas de seguridad que se han conocido en algunos centros de examen han provocado, por desgracia, una considerable pérdida de imagen de todo el sector y, en ocasiones, también una pérdida de confianza por parte de los ciudadanos. Las brechas de seguridad eran fácilmente evitables, aunque por supuesto eran costosas.

    Desgraciadamente, en el proceso de autorización de los centros de ensayo sólo se presta atención a la aplicación de conceptos de higiene adecuados, al uso de personal formado, a la adecuación de los locales, etc.; en cambio, los requisitos de protección de datos no desempeñan ningún papel en el proceso de autorización.

    Por lo tanto, parece adecuado que las autoridades de control de la protección de datos responsables realicen un estrecho seguimiento de los centros de ensayo y, si se detectan infracciones, se les debe sancionar de forma sistemática y, si es necesario, se les deben imponer multas. Teniendo en cuenta la alta rotación de los centros de examen, las multas podrían ser considerables.

    Fecha

    SOLICITE INFORMACIÓN

    NOS PONDREMOS EN CONTACTO EN MENOS DE 24H.

    Más
    artículos

    Alisios Consultores

    Somos líderes en certificación, auditoría y evaluaciones en las áreas de calidad, medioambiente, seguridad alimentaria y salud en el trabajo.

    Certificación de Sistemas

    Cambio Climático - ODS

    Seguridad Alimentaria

    Oficinas en:

    Santa Cruz de Tenerife – Las Palmas de G.C. – Lanzarote – Madrid – Barcelona – Murcia – Zaragoza – País Vasco – Sevilla – Málaga – Valencia –  Mallorca – Salamanca

    ©2004-2025 – ALISIOS CONSULTORES®

    Protección de Datos | ISO 9001 | ISO 14001 | ISO 27001| ISO 45001 | ISO 22000 | Huella de Carbono | ENS | CompliancePlanes de Igualdad

    error: Contenido protegido!!