Pacientes con VIH, mujeres que pidieron la píldora del día después, enfermos mentales. Todos con nombre, RUT y domicilio estaban disponibles hasta el viernes 4 de marzo en la plataforma computacional del Ministerio de Salud. Cualquiera de sus 100 mil funcionarios, e incluso externos, podían acceder a esa información privada. Se trata de la peor vulneración de la seguridad informática en salud, pues hubo al menos 3 millones de archivos desprotegidos durante meses. Lo grave es que la falla se alertó hace 10 meses. Ni la seguridad del Minsal ni ENTEL, empresa que presta el servicio de la red, actuaron.

El 28 de abril de 2014, una joven de 19 años acudió a un centro médico del Servicio de Salud Metropolitano Central (SSMC). Había sido abusada sexualmente el día anterior y solicitó Levonorgestrel, comúnmente conocida como la pastilla del día después. Le entregaron dos dosis de 0,75mg cada una. La primera se la tomó en el lugar y la segunda tenía que ingerirla 12 horas después. El registro de esa consulta quedó alojado en la red informática del Ministerio de Salud (Minsal), junto a los nombres y datos personales de todas las mujeres que solicitaron la misma píldora desde 2012 a 2015 en ese establecimiento y en otros a lo largo del país.

El registro lleva el nombre de la paciente, su RUT, domicilio, descripción del caso y el medicamento entregado. Son todos antecedentes personales de máxima privacidad, que debieran haber estado encriptados o disponibles solo y rigurosamente para los funcionarios autorizados para consultar esa sensible información.

No fue así. Porque la red informática interna del Minsal estuvo a disposición de los funcionarios que quisieran ingresar a esos archivos hasta la noche del viernes 4 de marzo. El universo de quienes podían acceder a las llamadas “carpetas compartidas” de la red computacional de Salud, incluye a cerca de 100 mil personas, más los empleados de los consultorios desde Arica a Magallanes.

CIPER descubrió esta grave situación y en la tarde del viernes 4 de marzo concurrió al despacho de la ministra de Salud, Carmen Castillo, y le informó de la falla de seguridad que presentaba la red informática de su cartera. Una vulnerabilidad que, tal como lo constató CIPER haciendo pruebas desde tres puntos distintos, incluye que se podía ingresar a esas “carpetas compartidas” desde fuera de los establecimientos de Salud, ya que hay computadores del ministerio y centros de atención que tienen instalados un programa de acceso remoto.

En efecto, algunos computadores de la red de Salud tienen instalados programas, como Teamviewer, que permiten ingresar al ordenador –y así a la red del Minsal- desde fuera de los establecimientos hospitalarios y desde cualquier lugar de Chile o el mundo.

En el mismo despacho de la ministra, CIPER hizo las pruebas que demostraron que la red era vulnerable. La ministra Carmen Castillo se mostró consternada por la situación y ordenó de inmediato a los equipos técnicos del Minsal bloquear los archivos, al tiempo que afirmó que adoptará “todas las medidas técnicas, administrativas y legales” para proteger la información privada de los pacientes.

CIPER se comprometió a esperar que el Minsal pudiera al menos bloquear el acceso a las “carpetas compartidas” antes de publicar lo ocurrido, para así evitar una entrada masiva a esa información privada y altamente sensible. Lo que sí se nos aseguró fue que al menos las fichas electrónicas de los usuarios –que contienen la información completa de los pacientes- no están comprometidas en esta brecha de seguridad, porque requieren claves para acceder.

CIPER cumplió su compromiso y las medidas adoptadas por la ministra Carmen Castillo ya están en ejecución (ver minuta).

TRES MILLONES DE ARCHIVOS

En la indagación realizada por CIPER a los accesos que estaban disponibles para los funcionarios del Minsal que quisieran ingresar, pudimos constatar que los datos de las mujeres que pidieron la pastilla del día después no eran los únicos que estaban sin resguardo. Había al menos tres millones de archivos contenidos en las “carpetas compartidas”, con todo tipo de información sobre personas, funcionarios, exámenes de laboratorio, biopsias, proyectos, programas, sumarios, etc.

Durante la investigación, CIPER presenció cómo un funcionario ingresaba a distintos computadores y servidores de la red sin ninguna restricción, llegando a tener acceso a carpetas que se supone son de alta privacidad. Porque entre los archivos a los que el funcionario pudo acceder sin problemas estaban los registros de pacientes con VIH, cáncer, problemas de salud mental y procedimientos de abortos a nivel nacional. La falla en la seguridad de la red informática había dejado toda esa información expuesta a posibles filtraciones o usos indebidos.

Para dilucidar la magnitud y la extensión de la falla de seguridad, CIPER ingresó a la red de salud desde tres puntos distintos en la Región Metropolitana. Y en cada ocasión pudimos confirmar que en todos ellos se podía acceder a las “carpetas compartidas”.

El proveedor del servicio de internet de salud es ENTEL, empresa que fue contratada a través de trato directo –sin licitación pública- en 2013 por el Minsal para construir la red y realizar su mantención durante ocho años. Todo por un costo anual de 605.472 UF (valor UF actual), unos $15.576 millones (ver documento).

De acuerdo a las bases utilizadas para la licitación que originalmente fue declarada desierta, ENTEL tiene la obligación de velar por la “Prevención de Fuga de Información”, “ofreciendo la opción para definir reglas que permitan analizar los distintos archivos que circulan a través de la red en búsqueda de información confidencial”, especificando tipo de archivo y protocolo a seguir en caso de la detección de una posible fuga (ver documento).

La brecha de seguridad detectada por CIPER indica que los compromisos contraídos a partir de las bases de la licitación no se cumplieron. Porque la falla vulneró completamente el llamado Sistema de Seguridad de la Información del Ministerio de Salud y violó las 44 Resoluciones Exentas dictadas con normas específicas para proteger los antecedentes de los pacientes.

Lo más inquietante es que la información contenida en esos tres millones de archivos alojados en las “carpetas compartidas” estaba accesible y despojada de todo circuito de seguridad desde hacía por lo menos un año. Lo grave es que la investigación de CIPER corroboró que el riesgo había sido puesto en conocimiento de algunas jefaturas de seguridad informática del ministerio hace meses. Y a pesar de ello, no se adoptó ninguna medida.

Por esa razón, el Ministerio de Salud abrirá una investigación sumaria a nivel central y en los servicios descentralizados para establecer responsabilidades.

CÓMO SE VULNERÓ LA RED

El Ministerio de Salud tiene entre sus planes estratégicos la llamada “e-salud”, que busca fortalecer la atención “garantizando el intercambio de información entre los diferentes establecimientos, instituciones y proveedores”. Para ello, se desarrolló la red informática con ENTEL que abarca más de 1.500 establecimientos de salud en todo el país. Como la seguridad es el gran problema de estos sistemas, porque se ingresa allí información altamente sensible de los ciudadanos, uno de los puntos revelantes que se incluyó en el contrato con ENTEL fue el resguardo de estos registros.

La investigación del Minsal deberá dilucidar cómo fue que la decisión de compartir la información alojada en las llamadas “carpetas compartidas” quedó librada a cualquier usuario de la red, sin restringir el acceso a través de una clave secreta u otro filtro. Porque fue así como esos archivos fueron quedando a disposición de quien ingresara a la plataforma, pudiendo copiar, modificar y hasta borrar el documento.

La vulnerabilidad detectada, y ahora corregida, se refiere a las llamadas “carpetas compartidas”, cuyo manejo está regulado en la Resolución 1.157 del 29 de diciembre de 2014. Allí se estableció la Política de control de acceso “a los medios compartidos de información del Minsal” y se aplica a toda la información que se encuentre en carpetas compartidas, bases de datos, sistemas computacionales, servidores y otros medios del ministerio.

Esa resolución ordena que “todos los funcionarios del Minsal, incluso terceros, deberán tener acceso solo a la información que necesiten para el desarrollo legítimo de sus funciones”. Las necesidades de acceso para cada persona las determina cada jefatura. También se establece que los derechos de acceso que recibe cada funcionario deben ser revisados al menos cada seis meses y que cualquier intento de acceso no autorizado a los “equipos, carpetas compartidas, sistemas de información, será considerado un incidente grave, por lo que debe reportarse de inmediato”.

Nada de ello se cumplió. Porque lo que CIPER constató es que no se necesitaba ser un experto en computación para ingresar a esa documentación. Cualquier funcionario integrado a la red del Minsal podía acceder a esas carpetas desde el llamado “explorador de archivos” en Windows, Finder en Mac o Nautilus en Linux. La única restricción que existía era la obtención de la IP de un computador, algo así como la dirección de la casa de cada PC. Pero para eso existen programas gratuitos y aplicaciones de celulares que permiten escanear todas las direcciones IP de la red, que en la del Minsal incluye a más de 200 mil dispositivos conectados.

Con las IP identificadas, la persona podía ver en pantalla cuáles computadores están encendidos, seleccionar uno, digitar la IP en la barra del explorador de archivos, y ya tenía ingreso a ese PC y a las carpetas que mantenía compartidas.

Así como CIPER ingresó desde tres lugares distintos de la Región Metropolitana, ese mismo ejercicio se podía realizar desde cualquier punto del país conectado a la red del Minsal. Incluso, había servidores con respaldo de toda la información que contienen computadores de las jefaturas de servicios, mientras que otros tenían compartidos archivos de canciones (MP3), películas (MOV y AVI) y fotografías personales de funcionarios. Y todos ellos sin restricción alguna de acceso.

MILLONARIO CONTRATO CON ENTEL

En diciembre de 2013, y a través de un trato directo, ENTEL firmó el contrato con el Ministerio de Salud. La idea fue implementar una conexión interna completa: desde las oficinas administrativas, pasando por hospitales y urgencias, hasta los Centros de Salud Familiar (Cesfam) en todo el país. Actualmente hay unos 200 mil dispositivos conectados, ya sean computadores, impresoras, routers y servidores. El contrato incluyó la instalación de 120 mil puntos de voz (teléfonos), 30 mil casillas de correo electrónico, 200 salas de videoconferencias y seguridad de la red. Pero el proceso no fue tan fácil.

En abril de 2012 comenzó la licitación de red del ministerio, que incluía tres áreas por separado: 1) Grupo de servicios de red de comunicaciones y complementarios; 2) Servicio unidad de gestión y control central (UGC); 3) el servicio de instalación y mantenimiento de cableado.

El 3 de agosto de ese año, el Minsal declaró desierta la primera área, porque las dos empresas que postularon –ENTEL y Movistar (ex Telefónica)- ofrecieron propuestas económicas que excedieron el monto máximo de la licitación: $12 mil millones. Las otras dos etapas de la licitación –a las que postularon Claro, Powersoft y Cyberplus- se declararon como “ofertas inadmisibles”.

Como el contrato vigente con Movistar estaba a punto de expirar, el Ministerio de Salud de la época decidió optar por un trato directo con uno de los oferentes. Esta decisión fue fundamentada así por el Departamento de Gestión Sectorial de Tecnologías de la Información y las Comunicaciones del Minsal: “Considerando que existe un tiempo estimado por licitación de 18 meses y una implementación de seis meses, como mínimo para entrar en operación, y 12 meses más para que la red quede 100% operativa, es necesario el trato directo con uno de los oferentes”. De lo contrario, decía el informe, el riesgo de quedar sin sistema informático en los servicios de salud nacional era inminente, algo que “no se puede tolerar”.

Fue entonces que se inició una negociación con ENTEL y Movistar, las dos grandes empresas con la capacidad técnica de realizar este servicio. Para la revisión técnica del proceso, el Minsal contrató a la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile.

Un oficio del Minsal a la Cámara de Diputados dice que en ese proceso se utilizaron las mismas bases de la licitación declarada desierta. Sin embargo, en el mismo documento se cita la conclusión de los profesionales de la Universidad de Chile, los que aseguran que hubo “cambios en las condiciones de contratación que ofreció el Minsal”.

Consultadas las actuales autoridades del Ministerio de Salud sobre esta contradicción, informaron a CIPER que, respecto del sistema de seguridad que debía resguardar la red informática, no hubo cambios en las bases originales de la licitación.

Si así fue, ENTEL sería responsable de la seguridad de la red. Así lo establece el punto 56.2.4.2 de las bases de la licitación, donde se señalan los protocolos y estándares que deberán mantener la red protegida. Entre ellos, se menciona la Protección contra Intrusos (IPS, por sus siglas en inglés) y la Prevención de Fuga de Información (DPL, por sus siglas en inglés).

Con más precisión, las bases de la licitación establecieron que es al proveedor del servicio al que le corresponde revisar que nadie pueda tener acceso a la red desde fuera y, al mismo tiempo, analizar todos los archivos que circulan a través de la red en búsqueda de información confidencial. Algo que como se comprobó, no ocurrió con las “carpetas compartidas”.

Actualmente ENTEL presta servicios de red interna e Internet a varias instituciones del Estado, como la Superintendencia de Educación, la Dirección General de Movilización Nacional, Carabineros y el Comando de Salud del Ejército, entre otros.

EL SISTEMA DE SEGURIDAD DEL MINSAL

La desprotección de los archivos del Minsal vulneró todas las normas de seguridad de la red que el propio ministerio ha dictado y que están contenidas en resoluciones firmadas por ministros y subsecretarios de la cartera desde 2013 en adelante.

El control de su cumplimiento está entregado al Departamento de Gestión Sectorial TIC -dependiente del gabinete de la ministra(o)-, a los Encargados de Seguridad de la Información de los diversos servicios y al Comité de Seguridad Ministerial, integrado por 10 jefaturas.

En el sitio web del Minsal están detalladas las 44 Resoluciones Exentas (RE) y las circulares que contienen las normas de acceso, uso y seguridad de todos los computadores, dispositivos, programas (software) y documentación que está contenida en la red. Las conexiones van desde las oficinas centrales del ministerio, en Santiago, hasta los consultorios en regiones, pasando por los hospitales públicos, postas y sedes del ministerio en todo el país.

Entre esas resoluciones está la Política de protección de los datos y privacidad de la información personal (RE 1.082, del 17 de diciembre de 2014), firmada por el actual subsecretario de Salud, Jaime Burrows, y la entonces subsecretaria de Redes Asistenciales, Angélica Verdugo. Allí se ordena que todos los funcionarios usen los archivos solo para sus tareas y no difundan esa información a ninguna persona o entidad, para lo cual deben firmar una cláusula de confidencialidad y resguardo.

Otra norma es la Política General de Seguridad de la Información (RE 781, del 14 de octubre de 2014) que establece que “la información sólo puede ser conocida por el personal que la requiera para el desarrollo de sus funciones. Este principio fundamental de seguridad busca garantizar que toda la información de los ciudadanos, funcionarios y proveedores, y sus medios de procesamiento y conservación estén protegidos del uso no autorizado o divulgación accidental, sabotaje, espionaje industrial, violación de la privacidad y otras acciones que pudieran poner en riesgo dicha información”. Esta resolución, también firmada por Burrows y Verdugo, encarga al Departamento de Gestión TIC “velar por su estricto cumplimiento”.

Los 44 documentos conforman el “Sistema de Seguridad de la Información”, que “da la posibilidad de disminuir en forma significativa el impacto de los riesgos a los que están sometidos los activos de información”.

Ello resultó completamente vulnerado con la existencia de al menos tres millones de archivos compartidos al alcance de cualquier funcionario del Minsal. Lo grave es que este enorme agujero de datos no fue detectado por la empresa que aseguraba el servicio –ENTEL- y tampoco por el Comité de Seguridad de la Información Sectorial del ministerio. Y ello a pesar de que fueron advertidos de la falla, como lo constató CIPER, al menos desde hacía diez meses.

La resolución 782, del 14 octubre de 2014, establece que ese comité lo preside el jefe del Departamento Gestión TIC (Rodrigo Castro), y participan el encargado del Área de Operaciones (Gestión TIC), el encargado de Infraestructura, Telecomunicaciones y Seguridad (Gestión TIC); el encargado de Seguridad de la Información, el jefe de Recursos Humanos, el jefe de Control de Gestión Ministerial, el encargado de Calidad, un asesor jurídico, y dos encargados de Programas de Mejoramiento de Gestión.

Entre las funciones del comité están velar por la implementación de los controles de seguridad en la plataforma tecnológica, revisar y monitorear el estado del Sistema de Seguridad de la Información, y revisar y monitorear los incidentes de seguridad de la información. Al menos una vez al año el comité debe evaluar el cumplimiento de la Política General de Seguridad de la Información y proponer los cambios necesarios, considerando entre otros factores las “alertas ante amenazas y vulnerabilidades”.

Todo indica que las 10 jefaturas y los miembros del Comité de Seguridad de la Información Sectorial del Minsal no cumplieron su tarea. A partir de la medianoche del viernes 4 de marzo, la brecha de seguridad fue subsanada. Esa fue la información enviada por el Ministerio de Salud. Y si bien la ministra Carmen Castillo dijo a CIPER que se iban a tomar “todas las medidas técnicas, administrativas y legales”, estas negligencias podrían tener repercusiones judiciales, porque se vulneraron las leyes de Deberes y Derechos del Paciente y de Protección de la Vida Privada. Y será muy difícil dilucidar quiénes tuvieron acceso a la información más sensible.