Denuncian que aplicación Salud Digital expone información personal

Ha expuesto información sensible de más de 65 mil personas debido a fallas de seguridad en su programación

Paloma Sánchez | El Heraldo de Chihuahua

  · martes 10 de noviembre de 2020

Foto: Archivo | El Heraldo de Chihuahua

La Red en Defensa de los Derechos Digitales (R3D) informó que la aplicación Salud Digital Chihuahua, desarrollada por el Gobierno del Estado de Chihuahua durante la pandemia de Covid-19 ha expuesto información sensible de más de 65 mil personas debido a fallas de seguridad en su programación.

Si te gusta estar informado, suscríbete a nuestro NEWSLETTER y recibe todas las mañanas en tu correo electrónico las noticias más importantes de Chihuahua. Da clic aquí, es gratis

Lo anterior con información de la consultoría mexicana Seekurity, en la que detalla que en que se realizó un análisis a las aplicaciones que los gobiernos estatales de Chihuahua, Sonora y Puebla ofrecieron a la ciudadanía, y que presentan vulnerabilidades como fallas en el cifrado, exposición de credenciales, facilidad para acceder a bases de datos con información sensible.

R3D menciona que la aplicación del gobierno de Chihuahua no cuenta con cifrado para el tráfico de la app, sino que se encuentra en texto plano y permitiría el acceso a los registros de 65 mil personas usuarias almacenados en el servidor.

Por su parte, Seekurity detalla tres vulnerabilidades de Salud Digital Chihuahua, en su versión 4.4 -emitida el 5 de octubre de 2020-, y que sigue siendo vulnerable a la consulta de registros-, señala en primer lugar que la aplicación Android permite el envío de información en texto plano, es decir, sin descifrar.

En un segundo punto, menciona que la aplicación solicita al usuario un Token para iniciar con el formulario de evaluación, y que al colocar el número de teléfono, la aplicación enviará el Token para ingresar; sin embargo, no es necesario contar con el número de teléfono válido o esperar el Token, ya que éste es generado por la misma aplicación en el cliente, que podía ser capturado por un agente malicioso y usarlo para entrar a la app, sin tener que recibir el Token.

En el tema de extracción de registros, Seekurity alertó sobre que un agente externo con intenciones dudosas, podría enviar una petición especialmente diseñada a los servidores solicitando la información de otros usuarios, al no contar con restricciones de solo permitir acceder a la información de un usuario autenticado, lo que da la posibilidad de que cualquiera pueda consultar la información de más de 65 mil registros almacenados en los servidores de Salud Digital Chihuahua.

“Una de las principales preocupaciones de Seekurity fue la falta de canales y procedimientos apropiados para notificar y recibir reportes de seguridad para que sean atendidos de forma rápida y adecuada, ya que a pesar de notificar estas vulnerabilidades en las apps, las autoridades no se han pronunciado al respecto ni se tiene certeza de que se hayan solucionado”, reseñó R3D.

Así mismo, expuso que durante la pandemia del Covid-19, se ha dado un auge en el uso de herramientas tecnológicas y apps para la detección de casos de la enfermedad, de las que dijo que –algunas por omisión y otras por diseño-, pueden poner en riesgo la privacidad e información de las personas, y recomendó que su uso debe estar acotado en el tiempo y regulado bajo fuertes estándares de Derechos Humanos.

R3D es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital, que utiliza diversas herramientas legales y de comunicación para hacer investigación de políticas, litigio estratégico, incidencia pública y campañas con el objetivo de promover los derechos digitales en México. De acuerdo con la información expuesta en su página, tienen entre sus objetivos principales la libertad de expresión, la privacidad, el acceso al conocimiento y la cultura libre.

Te puede interesar: