Los investigadores dicen que encontraron imágenes de pacientes expuestas, así como nombres, direcciones y números de teléfono.

Miles de expuestos Los investigadores han advertido que los servidores están divulgando los registros médicos y la información de salud personal de millones de pacientes debido a fallas de seguridad en un estándar industrial de décadas de antigüedad diseñado para almacenar y compartir imágenes médicas.

Este estándar, conocido como Imágenes y Comunicaciones Digitales en Medicina, o DICOM para abreviar, es el formato reconocido internacionalmente para imágenes médicas. DICOM se utiliza como formato de archivo para tomografías computarizadas e imágenes de rayos X para garantizar la interoperabilidad entre diferentes sistemas y software de imágenes. Las imágenes DICOM generalmente se almacenan en un sistema de almacenamiento e intercambio de imágenes, o servidor PACS, lo que permite a los médicos almacenar imágenes de pacientes en un solo archivo y compartir registros con otros consultorios médicos.

Pero como descubrió Aplite, una consultora de ciberseguridad con sede en Alemania que se especializa en atención médica digital, las deficiencias de seguridad en DICOM significan que muchas instalaciones médicas han hecho que, sin querer, los datos privados y los historiales médicos de millones de pacientes sean accesibles a la Internet abierta.

La investigación de Aplite sobre sistemas DICOM, compartida con TechCrunch antes de su presentación en Black Hat Europe esta semana, ha descubierto más de 3.800 servidores en más de 110 países que exponen la información personal de unos 16 millones de pacientes. Aplite dijo que encontraron nombres, géneros, direcciones y números de teléfono de los pacientes y, en algunos casos, números de Seguro Social.

La investigación, que escaneó Internet en busca de servidores DICOM durante más de seis meses, encontró que estos servidores también están exponiendo más de 43 millones de registros médicos, que pueden incluir los resultados de un examen, cuándo se realizó el examen y los detalles de los médicos remitentes. .

La mayoría de los servidores expuestos (más de 8 millones de registros) se encuentran en los Estados Unidos, seguidos por 9,6 millones de registros en la India y 7,3 millones en Sudáfrica. Aplite dijo que muchos de los servidores con sede en EE. UU. alojan datos de prácticas médicas ubicadas fuera de Estados Unidos.

Sina Yazdanmehr, consultora senior de seguridad de TI de Aplite, dijo a TechCrunch que más del 70% de estos servidores DICOM expuestos están alojados en gigantes de la nube como Amazon AWS y Microsoft Azure. El resto son servidores DICOM en consultorios médicos conectados a internet.

Yazdanmehr dijo que menos del 1% de los servidores DICOM en Internet utilizan medidas de seguridad efectivas.

“Cuando hicimos esta investigación, nos dimos cuenta de que las organizaciones médicas habían iniciado el cambio hacia la nube y la modernización; Los grandes jugadores pasaron a la nube porque podían permitírselo y tenían la infraestructura”, dijo Yazdanmehr a TechCrunch. «Pero esta digitalización obliga a las pequeñas empresas que no tienen los recursos o el presupuesto (sólo una línea DSL) a ponerse al día».

Un problema heredado

Las deficiencias de seguridad asociadas con DICOM no son nada nuevo. En 2020, TechCrunch informó que la implementación de este protocolo de décadas de antigüedad en hospitales, consultorios médicos y centros de radiología llevó a la exposición de millones de imágenes médicas que contienen información de salud personal de los pacientes.

Ahora, casi cuatro años después, el problema no muestra signos de disminuir. Peor aún, Aplite dijo que descubrió un nuevo vector de ataque que podría permitir a los piratas informáticos alterar datos dentro de imágenes médicas existentes, lo que la compañía demostrará en Black Hat el miércoles.

«Cuando analizamos los servidores, descubrimos que 39 millones de registros médicos corren el riesgo de ser manipulados», dijo Yazdanmehr. «Debido a la naturaleza de los registros médicos, no se pueden cambiar a menos que pase por todo un proceso de verificación manual».

«Si un atacante manipula esos datos, es probable que estos registros sean inútiles», dijo Yazdanmehr. «Incluso pueden inyectar señales falsas de enfermedades».

La cantidad de registros filtrados aumenta cada día, dijo Yazdanmehr a TechCrunch, a medida que más hospitales se trasladan a la nube y se generan más registros, pero el problema más amplio no es fácil de solucionar. Yazdanmehr dijo que si bien DICOM tiene medidas de seguridad, exigir su uso podría dañar muchos productos y sistemas heredados.

La Medical Imaging & Technology Alliance, que supervisa el estándar DICOM, no respondió a las preguntas de TechCrunch.

Los ciberdelincuentes de Play comenzaron a llevar a cabo su amenaza: luego de reivindicar el ataque informático que tuvo como objetivo el consejo departamental de Alpes-Maritimes, en la noche del 9 al 10 de noviembre de 2022, el grupo de piratas informáticos comenzó a difundir en su sitio datos robados del organización.

Se ha publicado en su sitio un archivo de 13,7 gigabytes que contiene datos internos del consejo del condado. En estos archivos se encuentran elementos relacionados con la gestión de recursos humanos de varias entidades del consejo departamental así como documentos utilizados en el marco de proyectos de desarrollo regional en el departamento. El fichero también contiene, en menor medida, datos de carácter personal, en particular documentos de identidad y pasaportes.

En su sitio, el grupo que se atribuyó la responsabilidad del ataque dice que esta transmisión es solo la primera y que se producirá una nueva publicación si el consejo departamental de Alpes Marítimos se niega a ponerse en contacto. Este último por su parte declaró en un comunicado de prensa, publicado el 16 de noviembre, que «la rápida reacción de los agentes del departamento permitió limitar el alcance del ataque, tanto en términos de contaminación de los servidores como de violación de datos». En otras palabras, los servicios del departamento creen que lograron evitar el cifrado de una gran cantidad de servicios y dispositivos, a pesar de que los atacantes lograron robar datos durante el ataque.

Lea también: Artículo reservado para nuestros suscriptores Ciberseguros: detrás del tema de los rescates, el tema económico

El departamento no menciona una demanda de rescate en sus publicaciones sobre el ataque, pero el modus operandi de Play Group es similar al que usan los grupos de ransomware: el malware que se usó aquí está diseñado para cifrar los datos y el grupo ha creado un sitio en TOR (The Onion Router, una herramienta que permite anonimizar su navegación en Internet) permitiéndole distribuir los datos sustraídos.

Un grupo desconocido

Play es relativamente nuevo en los grupos de ciberdelincuentes que se especializan en el uso de ransomware y su funcionamiento no ha sido objeto de mucho análisis por parte de las empresas de ciberseguridad. Sus primeras víctimas identificadas datan de junio y el sitio utilizado por el grupo para distribuir los datos robados a sus víctimas recién se instaló en noviembre. Como señala la empresa de software de ciberseguridad Trend Micro, este grupo se ha centrado hasta ahora principalmente en objetivos basados ​​en América Latina, pero ahora reclama dos organizaciones francesas entre sus víctimas: además del departamento de Alpes Marítimos, una empresa de servicios digitales habría sido afectado.

Varios consejos departamentales franceses han sufrido recientemente ataques informáticos con consecuencias similares, obligándolos a tomar medidas para garantizar el funcionamiento de sus servicios: Seine-et-Marne y Seine-Maritime en octubre, Indre-et-Loire en julio.

Lea nuestro archivo: Artículo reservado para nuestros suscriptores Las autoridades intentan contener el aumento de los ataques de ransomware

El mundo

Publicado en un conocido foro de ciberdelincuentes, el archivo podría haber sido una filtración más entre muchas de este tipo que se publican todos los días. Pero el archivo publicado públicamente por un usuario del foro el domingo 4 de septiembre contiene los datos personales de alrededor de mil clientes (incluido el grupo Le Monde) de la solución Micro-SOC Endpoint, comercializada por Orange Cyberdefense. Por lo tanto, es particularmente sensible: la filtrado enumera el apellido, el nombre, el número de teléfono y la dirección de correo electrónico del responsable de TI de las empresas afectadas, es decir, de personas cuya parte de su trabajo es precisamente velar por su ciberseguridad.

El autor del texto que acompaña a la publicación ofrece así a los usuarios acceso gratuito a un archivo que cuenta, según él, “1.584 datos de clientes de Orange Cyberdefense”. Esta cifra en realidad corresponde al número de líneas en el documento y se desconoce el número exacto de clientes afectados, citando Orange Cyberdefense «varios cientos de clientes». Además de los datos personales, el autor del mensaje también afirma que “el acceso a sus servidores también está a la venta”sin dar más detalles sobre la naturaleza de esta oferta.

Lea también: Artículo reservado para nuestros suscriptores Caso Sébastien Raoult: ¿quiénes son los ShinyHunters, estos ciberdelincuentes especializados en el robo y venta de datos?

Orange Cyberdefense informó a los clientes afectados por esta filtración el lunes 5 de septiembre. La empresa «confirma la publicación en un foro especializado de un archivo que contiene datos personales relativos a unos cientos de clientes franceses del servicio Micro-SOC» y promete que las investigaciones están en marcha. La empresa también explica que ha tomado medidas para avisar a las autoridades competentes, pero no menciona el origen de la fuga de datos.

Perfiles interesantes para hackers

El interés del archivo difundido no está en el número de empresas afectadas, sino en el papel que ocupan la mayoría de las personas afectadas: el archivo incluye así a varios directores de TI o responsables de la ciberseguridad de las organizaciones. Tantos perfiles generalmente discretos y poco expuestos, pero que son una mina de oro para los ciberdelincuentes que quieren apuntar a empresas francesas. Esta información se puede utilizar, por ejemplo, para llevar a cabo campañas de phishing, lo que permite a los atacantes robar credenciales y obtener acceso al sistema informático de la víctima.

Lea el descifrado: Ciberdelincuencia: el hospital, un objetivo privilegiado y polémico para los hackers

La oferta Micro-SOC Endpoint que ofrece Orange Cyberdefense es una herramienta para configurar sistemas de detección y respuesta a ataques a estaciones de trabajo y servidores, delegando la administración y el mantenimiento a los equipos de seguridad. El servicio también ofrece acceso a información de ataques, asesoramiento personalizado y herramientas para crear campañas de phishing falsas para educar a los empleados.

Las organizaciones en cuestión van desde empresas muy pequeñas hasta grandes grupos, incluidas varias autoridades locales. También hay datos personales pertenecientes a administradores de TI que trabajan en hospitales franceses.

Luis Adán