CSIRT no ha encontrado vulnerabilidad de 3.4 millones de datos de panameños

Juan José López Torres

La entidad investiga la supuesta vulnerabilidad de una base de datos con más 3 millones de registros de salud en Internet, tal como lo reportó un ucraniano

El Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Panamá descartó que hasta este momento una base de datos con más de tres millones de registros de salud de los ciudadanos de ese país haya estado expuesta y vulnerable en Internet, tal como lo reportó un experto en ciberseguridad ucraniano ayer en su sitio web.

“Sobre el incidente reportado ayer en medios digitales, sobre la información de bases de dato del estado panameño, queremos informar que hasta este momento no se ha detectado ningún tipo de información publicada, estamos siguiendo protocolos internacionales en el manejo de este tipo de incidente para lo cual daremos un informe en las próxima 48 horas. Reiteramos que hasta este momento no hemos encontrado ningún tipo de información relacionada con lo publicado”, dijo hoy en un video el director del CSIRT, Dionys Sánchez.

 

Según el experto y CEO de securitydiscover.com, Bob Diachenko, los millones de datos estuvieron desprotegidos y disponibles al público en un clúster de Elasticsearch hasta el pasado 10 de mayo.

“Esta base de datos contenía 3 427 396 registros con información detallada sobre ciudadanos panameños (etiquetados como ‘pacientes’), más 468 086 registros con registros etiquetados como ‘paciente de prueba’ (aunque estos datos también parecían ser válidos y no puramente datos de prueba)”, indicó Diachenko en su sitio web.

Tal cantidad representaría el 90% de los ciudadanos del país, dado que este posee una población de total de 4.1 millones.

Lea: #PanamaPapers: Habla uno de los forenses informáticos

“El servidor sin garantía de Elasticsearch expone los datos del 85% de todos los ciudadanos de Panamá”, aseguró Catalin Cimpanu, Editor de noticias de ciberseguridad en Bleeping Computer LLC.

El CSIRT reiteró hoy que no ha detectado ninguna brecha de seguridad en las plataformas del sistema estatal, que analiza y verifica la veracidad de lo divulgado y que luego de este proceso publicará los resultados en un informe, lo cual ocurrirá este miércoles.

¿Qué datos habrían estado vulnerables?

Según el reporte del sitio web especializado en ciberseguridad, los datos parecían ser válidos y descartó que se tratara de información de prueba.

Los registros contenían información como: nombre completo, fecha de nacimiento, número de identificación nacional (cédula), número de seguro médico, teléfono, correo electrónico, dirección y otra información.

“Inmediatamente envié una alerta de notificación a CERT Panamá y, dentro de las 48 horas, la base de datos ha sido protegida”, aseveró Diachenko, quien mostró el mensaje de respuesta al reporte.

Dé clic para ampliar
Clic para ampliar

Además, indicó que la IP de la información fue indexada el 24 de abril pasado, según los registro de Shodan, un buscador para detectar los dispositivos conectados a la red, así como su ubicación y quién los está utilizando.

Ciberseguridad, una piedra en el zapato

A pesar de que Panamá, junto con Costa Rica, encabeza los índices de desarrollo tecnológico en estudios como los del Foro Económico Global, la ciberseguridad es un tema por fortalecer.

Para Christian Fernando Florez Ortiz, ingeniero de Sistemas, especialista en Gerencia de Sistemas y MBA en Seguridad Informática, la noción que tienen tanto las organizaciones públicas y privadas sobre este tema aún sigue siendo materia pendiente.

También: Tech Day: ¿Cuál es el impacto real de #PanamaPapers?

“Las entidades públicas y privadas, por lo general manejan un grado de ignorancia en cuanto inversión de contratos a personal de seguridad informática (fluidos de datos)”, aseguró Flores.

Esta carencia, tanto de herramientas tecnológicas como de colaboradores especializados, mantiene prevalente la vulnerabilidad informática.

“Esto impacta en todos los sentidos, desconfianza de dicha empresa en cuanto la información de sus base de datos no es algo confidencial, impacta también el estatus financiero”, finalizó el profesional.

Este artículo está clasificado como:

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR