Los registros de salud de casi 100 millones de pacientes en todo el mundo fueron puestos en riesgo por problemas de seguridad con un popular sistema de gestión de pacientes, señalan los investigadores. Casi 30 bugs fueron encontrados en el sistema OpenEMR, por un grupo de ciberseguridad llamado Project Insecurity.
OpenEMR es uno de los sistemas de gestión de pacientes y consultas más utilizados en el mundo. Dijo que estaba “agradecido” por el trabajo del Proyecto Inseguridad y que ahora había parcheado muchos de los errores que había expuesto.
Cazadores de bugs
Expertos en ciberseguridad del Proyecto Inseguridad encontraron varios problemas en su investigación de OpenEMR. Muchos de los bugs fueron etiquetados como “críticos” y, si hubieran sido explotados, habrían dado a los atacantes un amplio acceso a los registros médicos. Algunos habrían permitido a los atacantes con credenciales limitadas el acceso a datos confidenciales.
OpenEMR es utilizado por muchas cirugías, hospitales y otras organizaciones de salud para gestionar la información y el tratamiento de los pacientes. También se puede utilizar para gestionar la programación y la facturación, así como la administración de la práctica. En los Estados Unidos, se utiliza para documentar información médica confidencial de más de 30 millones de personas.
En todo el mundo, se cree que los registros de alrededor de 100 millones de personas se mantienen en OpenEMR. Project Insecurity informó a OpenEMR de sus conclusiones en julio y dio a la organización hasta el 7 de agosto para solucionarlas. Brady Miller, administrador del proyecto OpenEMR, dijo que había abordado los errores en varias etapas tras la revelación por parte del equipo de ciberseguridad.
El Sr. Miller dijo que la “revelación responsable” le había ayudado a corregir las vulnerabilidades. “La comunidad de OpenEMR se toma muy en serio la seguridad y ha considerado este informe de vulnerabilidad como de alta prioridad ya que una de las vulnerabilidades reportadas no requería autenticación”, dijo.
Los parches para los errores han sido liberados y compartidos con los muchos usuarios de OpenEMR. También se han añadido a los paquetes ofrecidos por los socios y las empresas de cloud computing.