Los investigadores dicen que encontraron imágenes de pacientes expuestas, así como nombres, direcciones y números de teléfono.
Miles de expuestos Los investigadores han advertido que los servidores están divulgando los registros médicos y la información de salud personal de millones de pacientes debido a fallas de seguridad en un estándar industrial de décadas de antigüedad diseñado para almacenar y compartir imágenes médicas.
Este estándar, conocido como Imágenes y Comunicaciones Digitales en Medicina, o DICOM para abreviar, es el formato reconocido internacionalmente para imágenes médicas. DICOM se utiliza como formato de archivo para tomografías computarizadas e imágenes de rayos X para garantizar la interoperabilidad entre diferentes sistemas y software de imágenes. Las imágenes DICOM generalmente se almacenan en un sistema de almacenamiento e intercambio de imágenes, o servidor PACS, lo que permite a los médicos almacenar imágenes de pacientes en un solo archivo y compartir registros con otros consultorios médicos.
Pero como descubrió Aplite, una consultora de ciberseguridad con sede en Alemania que se especializa en atención médica digital, las deficiencias de seguridad en DICOM significan que muchas instalaciones médicas han hecho que, sin querer, los datos privados y los historiales médicos de millones de pacientes sean accesibles a la Internet abierta.
La investigación de Aplite sobre sistemas DICOM, compartida con TechCrunch antes de su presentación en Black Hat Europe esta semana, ha descubierto más de 3.800 servidores en más de 110 países que exponen la información personal de unos 16 millones de pacientes. Aplite dijo que encontraron nombres, géneros, direcciones y números de teléfono de los pacientes y, en algunos casos, números de Seguro Social.
La investigación, que escaneó Internet en busca de servidores DICOM durante más de seis meses, encontró que estos servidores también están exponiendo más de 43 millones de registros médicos, que pueden incluir los resultados de un examen, cuándo se realizó el examen y los detalles de los médicos remitentes. .
La mayoría de los servidores expuestos (más de 8 millones de registros) se encuentran en los Estados Unidos, seguidos por 9,6 millones de registros en la India y 7,3 millones en Sudáfrica. Aplite dijo que muchos de los servidores con sede en EE. UU. alojan datos de prácticas médicas ubicadas fuera de Estados Unidos.
Sina Yazdanmehr, consultora senior de seguridad de TI de Aplite, dijo a TechCrunch que más del 70% de estos servidores DICOM expuestos están alojados en gigantes de la nube como Amazon AWS y Microsoft Azure. El resto son servidores DICOM en consultorios médicos conectados a internet.
Yazdanmehr dijo que menos del 1% de los servidores DICOM en Internet utilizan medidas de seguridad efectivas.
“Cuando hicimos esta investigación, nos dimos cuenta de que las organizaciones médicas habían iniciado el cambio hacia la nube y la modernización; Los grandes jugadores pasaron a la nube porque podían permitírselo y tenían la infraestructura”, dijo Yazdanmehr a TechCrunch. «Pero esta digitalización obliga a las pequeñas empresas que no tienen los recursos o el presupuesto (sólo una línea DSL) a ponerse al día».
Un problema heredado
Las deficiencias de seguridad asociadas con DICOM no son nada nuevo. En 2020, TechCrunch informó que la implementación de este protocolo de décadas de antigüedad en hospitales, consultorios médicos y centros de radiología llevó a la exposición de millones de imágenes médicas que contienen información de salud personal de los pacientes.
Ahora, casi cuatro años después, el problema no muestra signos de disminuir. Peor aún, Aplite dijo que descubrió un nuevo vector de ataque que podría permitir a los piratas informáticos alterar datos dentro de imágenes médicas existentes, lo que la compañía demostrará en Black Hat el miércoles.
«Cuando analizamos los servidores, descubrimos que 39 millones de registros médicos corren el riesgo de ser manipulados», dijo Yazdanmehr. «Debido a la naturaleza de los registros médicos, no se pueden cambiar a menos que pase por todo un proceso de verificación manual».
«Si un atacante manipula esos datos, es probable que estos registros sean inútiles», dijo Yazdanmehr. «Incluso pueden inyectar señales falsas de enfermedades».
La cantidad de registros filtrados aumenta cada día, dijo Yazdanmehr a TechCrunch, a medida que más hospitales se trasladan a la nube y se generan más registros, pero el problema más amplio no es fácil de solucionar. Yazdanmehr dijo que si bien DICOM tiene medidas de seguridad, exigir su uso podría dañar muchos productos y sistemas heredados.
La Medical Imaging & Technology Alliance, que supervisa el estándar DICOM, no respondió a las preguntas de TechCrunch.