bug

Utilizan el Heartbleed para robar datos de 4.5 millones de pacientes en EE.UU

Se trata del primer ataque masivo conocido que ha aprovechado el fallo

Actualizado:

Los hackers que robaron los datos personales de unos 4,5 millones de pacientes del grupo hospitalario Community Health Systems Inc, irrumpieron en sistema informático de la empresa explotando el bug «Heartbleed», por lo que se trata del primer ataque masivo conocido que ha aprovechado el fallo.

Un grupo de hackers chinos entró en el sistema a través de un equipo que aún no había sido actualizado con los parches de seguridad, ha dicho a Reuters la empresa de seguridad TrustedSec LLC.

David Kennedy, director de TrustedSec, ha dicho que varias fuentes han confirmado que el ataque se produjo gracias al Heartbleed. Kennedy, quien testificó ante el Congreso de Estados Unidos sobre fallas de seguridad en el sitio web healthcare.gov que utilizan los estadounidense para inscribirse bajo el seguro de salud Obamacare, aseguró que la operadora del sistema hospitalario utiliza un sistema de Juniper para proporcionar acceso remoto a los empreados a través de un red privada virtual (VPN).

Los hackers pudieron robar credenciales gracias al fallo en ese equipo e iniciar sesión dentro del sistema sin levantar sospechas, ya que se hacían pasar por alguno de los empleados. Una vez dentro, pudieron robar millones de datos de usuarios, entre ellos, número de la seguridad social (lo que identifica a los estadounidenses en muchos casos) y otros documentos.

Heartbleed se considera como uno de los mayores fallos de seguridad en Internet. Se encontraba (y aún se encuentra) en el software de encriptación OpenSSL, utilizado por multitud de páginas para codificar su contenido e, irónicamente, hacerlos más seguros. La tecnología era usada en webs, apps, equipos de telecomunicaciones y software de centros de datos.

El fallo hace que los sistema sean vulnerables a datos ya que los hackers pueden atacar sin dejar rastros. Community Health Systems es uno de los mayores grupos hospitalarios de Estados Unidos. En abril, la oficina de impuestos de Canadá notificó que la información de 900 de sus usuarios había estado comprometida después que hackers explotaran el Heartbleed en su página.