Durante los últimos días, este medio fue receptor de múltiples denuncias por parte de ciudadanos preocupados (que pedían resguardo de su identidad) alertando que “ingresando un número de DNI, era posible acceder sin restricción alguna a la historia clínica digital de cualquier persona del sistema público de salud de Salta”.
De esta manera, este medio pudo constatar de forma directa y sin intermediarios que la falla era real. Desde una computadora y un celular común, sin usuario ni clave, se logró visualizar diagnósticos, estudios y medicamentos de pacientes salteños. Todo con solo ingresar un DNI.
Ante esta vulneración masiva a la privacidad sanitaria, InfoSalta publicó el martes 13 de mayo la nota “Historias clínicas al descubierto: Una falla en SAFESA expone a los salteños y podría desatar juicios”, detallando cómo el sistema, creado por el Ministerio de Salud Pública bajo la premisa de unificar la información en una sola plataforma, presentaba una grave falla estructural.
Al consultar al Ministerio de Salud “negó categóricamente que cualquier persona pudiera ingresar sin autenticación”, y aseguró: “El acceso al portal únicamente es posible a través de un usuario debidamente registrado y autorizado en SAFESA. Cada profesional y auditor que ingresa al sistema cuenta con una identificación única y trazable”.
Sin embargo, el propio equipo técnico del Ministerio reconoció que “hubo accesos anómalos”, y que tras la publicación de InfoSalta comenzaron a auditar las entradas al sistema.
Se inició una investigación interna que derivó en la detección de una cuenta en uso irregular, la cual fue inmediatamente deshabilitada.
En diálogo exclusivo con María Solá, Subsecretaria del equipo informático del Ministerio de Salud y responsable directa de SAFESA, la funcionaria confirmó: “Anoche se detectó la cuenta con la que se estaba ingresando y se deshabilitó. La cuenta de Gmail asociada formaba parte del mecanismo de validación de credenciales”.
Esta frase dejó entrever un segundo nivel de gravedad: el sistema usaba una cuenta de Gmail como parte del esquema de validación, lo cual implica alojar información crítica en servidores de un proveedor externo, en este caso, Google, cuyo hosting principal se encuentra fuera del país.
Consultada por esta situación, Solá sostuvo que esto no representa un riesgo: “Google no representa un riesgo para el sistema de salud, ya que el mismo también implementa validaciones como las de dos pasos para el acceso a la información. Son muchos los sistemas que avanzan en estas políticas entendiendo las vulnerabilidades de los usuarios y los sistemas”.
Frente al planteo sobre si no sería más seguro contar con servidores propios, la funcionaria aclaró: “Los datos del Ministerio de Salud no están en la nube, tenemos una infraestructura de servidores como política de ciberseguridad ante ataques, que como siempre estamos en constante monitoreo y avance”.
Aunque desde el Ministerio insistieron en que “no existe ningún acceso sin autenticación previa”, también admitieron que el usuario involucrado tenía rol de auditor y que se había registrado actividad fuera del horario laboral habitual.
“Existen roles auditores que también deben cumplir este criterio, y las excepciones de personal son validadas por autoridad superior para funciones específicas. En todos los casos de los accesos se lleva una auditoría de ingresos”, aseguró Solá.
Cuando InfoSalta preguntó directamente si puede afirmarse que hubo una brecha puntual de seguridad, la respuesta fue: “La capa adicional de seguridad que mencionaba corresponde a que le llegue al usuario la novedad de accesos no autorizados”.
Y agregó: “Tenemos auditoría en cada momento del registro, no solo del acceso sino también de los datos de las historias clínicas, en varias capas para trabajar siempre con el máximo nivel de seguridad y transparencia”.
Lo cierto es que el sistema presentó una vulnerabilidad real que permitía accesos indebidos, fue detectada por ciudadanos y periodistas, y se corrigió después de la publicación de InfoSalta.
Desde este medio reivindicamos el rol del periodismo como canal legítimo de alerta ciudadana, especialmente en temas tan sensibles como la salud y la privacidad.
Gracias a la colaboración entre lectores atentos, periodistas comprometidos y funcionarios dispuestos a revisar sus procesos, hoy la salud digital en Salta es un poco más segura que ayer.
Relacionado
