El año pasado, se realizaron más de 14 millones de pruebas PCR en Suecia. Investigadores de la Universidad de Umeå han descubierto que los datos personales han sido expuestos por una empresa privada que maneja certificados de prueba. «Esto es algo que puede haber afectado a miles de suecos», dice Alexandre Bartel, profesor de WASP y jefe del grupo de investigación de Ingeniería y Seguridad de Software en el Departamento de Ciencias de la Computación de la Universidad de Umeå.
En Suecia, cuando realiza una prueba de PCR para obtener un certificado, sus datos personales son manejados por empresas privadas. Alexandre Bartel y su grupo de investigación han descubierto una debilidad de seguridad crítica en una empresa que maneja estos certificados en las principales ciudades de Suecia.
«Pudimos acceder a información personal, desde nombres y números de seguro social hasta dónde se realizó la prueba y cuáles fueron los resultados al obligar al servidor a ejecutarse en un estado inesperado», dice Alexandre Bartel.
Dado que estas empresas privadas no comunican la cantidad de pruebas que manejan, aún no está claro cuántas personas podrían verse afectadas por tal vulnerabilidad.
«Sin embargo, nos han informado que podría haber afectado al menos a miles de personas», dice Alexandre Bartel.
El problema está resuelto, por ahora.
Cuando Alexandre descubrió el problema en julio de 2021, se comunicó de inmediato con la empresa. Con su ayuda, la empresa, que no quiere ser nombrada, pudo encontrar rápidamente y corregir la debilidad en 24 horas. Al mismo tiempo, la empresa pudo asegurarse de que nadie más hubiera descubierto y explotado esta vulnerabilidad.
«La empresa afirma que pudo verificar que no se había producido ninguna fuga de datos o información personal. Estaban muy agradecidos y, al mismo tiempo, ahora se han dado cuenta de que, aunque saben que un alto nivel de seguridad es esencial para manejar esto tipo de información, es imprescindible una evaluación exhaustiva de la seguridad de todo el sistema de software», dice Alexandre Bartel. La compañía también dice que agradece la futura colaboración con la Universidad de Umeå sobre este tema.
¿Los datos relacionados con la salud aún están en riesgo?
Para la mayoría de las personas, no hace falta decir que los datos personales, especialmente los relacionados con la salud, se manejan de forma segura. En la práctica, los datos pueden compartirse y/o almacenarse entre varias instituciones o empresas, lo que podría aumentar la superficie de ataque. Desde el punto de vista de un atacante, encontrar una vulnerabilidad en el eslabón más débil permite exponer los datos.
«Una de las razones por las que pueden ocurrir problemas de fuga de datos es que las empresas que manejan los datos solo tienen que cumplir con las leyes suecas y cumplir con una lista de requisitos», dice Alexandre Bartel.
Desafortunadamente, cumplir con una lista de requisitos no significa que un sistema sea seguro. Además, todavía no es obligatoria ninguna auditoría del sistema en ejecución real, incluida su pila de software. Por lo tanto, las debilidades de configuración o implementación pueden pasar desapercibidas.
«Todas las empresas desarrollan sus propios sistemas o compran una licencia para uno. Esto significa que se pueden encontrar problemas similares en varias otras empresas», continúa Alexandre.
Seguridad en una etapa temprana
Hay dos aspectos principales en los problemas de seguridad. El primero es la fuga de datos, donde una parte externa puede ver y obtener acceso a datos personales y similares. La segunda es cuando un actor externo puede ingresar a un sistema y manipular los datos. Al construir el sistema teniendo en cuenta la seguridad desde el principio y permitir que un tercero evalúe el sistema, se pueden minimizar las fugas y otros ataques, lo cual es particularmente importante cuando se trata de datos personales.
«Lamentablemente, la mayoría de la gente piensa en la seguridad demasiado tarde. Se ve principalmente como un costo, y los beneficios de la alta seguridad a menudo son invisibles. Para evitar problemas, el sistema debe diseñarse desde una perspectiva de seguridad en una etapa temprana y evaluarse por un tercero», dice Alexandre Bartel.
Se anima a las empresas a seguir este proceso porque si se ven afectadas por una fuga de datos personales, estarían infringiendo el RGPD y podrían recibir una multa de hasta el 4 % de sus ingresos anuales.
herramienta automatizada
Alexandre Bartel y su equipo de investigación del Departamento de Ciencias de la Computación están trabajando, entre otras cosas, en el desarrollo de herramientas de software que puedan detectar debilidades automáticamente, minimizando así la fuga de datos y el riesgo de ataques. Uno de los objetivos es reducir el tiempo y los recursos computacionales requeridos.
«Estamos trabajando para desarrollar soluciones que puedan encontrar de manera eficiente las debilidades de los sistemas, facilitando su prevención y gestión», dice Alexandre Bartel.
China refuerza el control sobre los datos de las empresas con reglas de transferencia
Citación: Las pruebas de COVID pueden filtrar datos personales (2022, 15 de febrero) recuperado el 15 de febrero de 2022 de https://techxplore.com/news/2022-02-covid-leak-personal.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.