Visto los datos de elDiario sobre una nueva brecha de datos en la sanidad y en las webs de autocitas, esta vez en Cataluña, debemos recordar lo que contamos sobre la Comunidad de Madrid aunque en este caso tiene un aspecto diferente. No se trata de lo mismo.
Reseñar que el sistema de auto citas, vacunacovid.catsalut.gencat.cat de Cataluña aparentemente está dirigido a la Cloud de Microsoft. Al menos la primera parte, lo que llamamos Front End (la Web)). Los datos no están claro donde se custodian. El dominio responde a Ips de Microsoft, eso es evidente. Amazon, quizás.
Brecha de datos en la sanidad de Cataluña: así ha sido
Por lo que cuenta el elDiario.es del método, (un tráfico de peticiones inusual, que fue detectado y cortado), parece referirse a que la forma de «explotar» la brecha ha sido ir componiendo números de DNIs, y viendo si había respuesta por el sistema. Esto es muy rudimentario. y más parecido a un ataque de Fuerza Bruta (dónde se utiliza un diccionario de claves, o un generador de la misma, para ir comprobando si alguno encaja), pero generando DNIs, aleatorios o secuencialmente.
Entiendo que alguien debería dar explicaciones si tiene un listado de DNIs válidos o CIPs que encajen en el rango de personas que puedan ser citadas para ponerse una vacuna en Cataluña, y no es el caso porque necesariamente debería dar muchas explicaciones sobre este punto.
Otra cuestión reseñable es la que, al contrario de lo que la gente presupone, la seguridad en la Cloud no es responsabilidad del proveedor, es del cliente. Me refiero a que Microsoft tiene sus propios controles que no intervienen en las apps o webs que se alojan en sus sistemas por defecto. Si quieres herramientas de seguridad para controlar eso Microsoft te ofrece las suyas, pero con un coste añadido, que no suele ser barato.
Esas medidas nunca son comunicadas ni compartidas con el cliente. Nunca es nunca. Microsoft no dará explicación alguna de lo que haya visto, registrado o si hizo algo o no. En todo caso que estas cosas no sucedan, insisto, está en la responsabilidad del cliente, Salud catalana, no de Microsoft, que se cuida muy mucho en sus contratos en dejar esto claro. No esperen ayuda en la Cloud porque no la tendrán, sino la han pagado previamente, nunca a posteriori.
También el hecho de que diversificar los sistemas de sanidad con diferentes apps y webs que cada Comunidad gestiona lleva precisamente a esto. La protección no es estándar, sino que cada uno debe implementar la suya para su propio sistema. Eso dispara los costes y las oportunidades de que diferentes sistemas, con diferentes protecciones y diferentes usos, sean mucho más complicados que defender, y una vez más deja del lado de los clientes, las consejerías de Salud u organismos responsables esa labor.
Por último, aunque el derecho de la información y la transparencia siempre debe primar, y de hecho mitigaría estos incidentes, es de evaluar si la oportunidad de sembrar más dudas sobre los sistemas sanitarios que las justas y necesarias, es más positiva que el posible efecto negativo de las mismas. Me refiero a que es un ejercicio de responsabilidad el comunicar los hechos después de ser reparados, cosa que ha hecho elDiario perfectamente y es de aplaudir, pero no siempre se hace. Y también es una llamada de atención a quienes deberían velar porque los sistemas sean seguros, puesto que son señalados como próximos candidatos a un test de intrusión o seguridad de los propios.
Esto puede ser bueno o malo, pero no deja de ser una invitación a comprobarlos y revisarlos. Intuyo que ya se está haciendo eso mismo.
