Sesiones de terapia expuestas por base de datos desprotegida de empresa de salud mental.

Un reciente estudio ha revelado que miles de detalles altamente sensibles sobre la salud de las personas, que incluyen grabaciones de audio y video de sesiones de terapia, estaban disponibles de manera pública en internet. Este conjunto de información, conectado a una empresa de atención médica en los Estados Unidos, contenía más de 120,000 archivos y más de 1.7 millones de registros de actividad.

A finales de agosto, el investigador de seguridad Jeremiah Fowler descubrió esta valiosa información en una base de datos desprotegida relacionada con el proveedor médico virtual Confidant Health. Esta compañía, que opera en cinco estados incluyendo Connecticut, Florida y Texas, se especializa en la recuperación por adicciones a drogas y alcohol, así como en tratamientos de salud mental y otros servicios.

En los 5.3 terabytes de datos expuestos, se encontraban detalles sumamente personales de los pacientes que iban más allá de las sesiones de terapia individuales. Fowler revisó documentos que incluían amplios informes de notas de psiquiatría y antecedentes médicos de las personas. “Al pie de algunos de los documentos estaba la frase ‘datos confidenciales de salud’”, comenta Fowler.

Por ejemplo, uno de los archivos de ingreso psiquiátrico, que aparentaba estar basado en una sesión de una hora con un paciente, detallaba problemas relacionados con el alcohol y otras sustancias, incluso cómo el paciente había reconocido haber tomado "pequeñas cantidades" de narcóticos del suministro de su abuelos en un hospicio antes de su fallecimiento. En otro documento, una madre describía la relación "conflictiva" entre su esposo y su hijo, señalando que mientras su hijo utilizaba estimulantes, había acusado a su pareja de abuso sexual.

Los documentos de salud expuestos también contenían notas médicas sobre la apariencia de las personas, su estado de ánimo, memoria, medicaciones y estado mental general. Uno de los registros revisados por el investigador parecía listar a los miembros de Confidant Health, la cantidad de citas que habían tenido y el tipo de citas, entre otros datos.

“Hay familias que están lidiando con traumas dolorosos, realmente desgarradores”, dice Fowler, quien además menciona que algunos de los archivos incluían audio y video de sesiones con pacientes. “Es como exponer los secretos más oscuros que has compartido con tu diario. Hay cosas que nunca querrías que se revelaran”.

Junto a los archivos médicos en la base de datos no segura, también se encontraban documentos administrativos y de verificación, que incluían copias de licencias de conducir, tarjetas de identificación y tarjetas de seguro. Los registros también mostraron que algunos datos fueron recopilados mediante chatbots o inteligencia artificial, haciendo referencias a preguntas y respuestas generadas por IA.

Confidant Health cortó rápidamente el acceso a la base de datos expuesta tras ser contactada por Fowler. Este investigador, quien avisa a las empresas sobre datos expuestos sin descargar ninguno de ellos, mencionó que una parte de los 120,000 archivos tenían algún tipo de protección por contraseña. Fowler revisó cerca de 1,000 documentos para confirmar la exposición y determinar el origen de los datos para alertar a la compañía. Destacó la rareza de que una base de datos expuesta incluyera tanto archivos bloqueados como desbloqueados.

En un comunicado, el cofundador de Confidant Health, Jon Read, indicó que la empresa toma muy en serio las preocupaciones de seguridad y que “toma issue con la naturaleza sensacionalista” de estos hallazgos. Read aseguró que una vez notificada la compañía sobre la "configuración inadecuada", el acceso a los archivos expuestos fue "corregido en menos de una hora".

• privacidad
• salud mental
• seguridad de datos