Las credenciales compartidas pueden haber facilitado el acceso de un antiguo empleado de un centro médico a los datos HIPAA almacenados en la nube después de haber sido despedido.

Los empleados no siempre serán empleados, y por lo tanto debe tener un mecanismo para abordar lo que sucede cuando alguien ya no es miembro del equipo de la compañía. Las circunstancias de la partida de una persona pueden afectar la manera y los medios en los que actúa, pero el resultado debe ser el mismo: la finalización completa al acceso a la información de la empresa. Cualquier empleado que se vaya ya no es una persona de confianza.

Esto se llama exclusión y, sin un proceso integral de exclusión, corre el riesgo de ser explotado por un ex empleado malévolo. Los ex empleados cuyo acceso no finaliza pueden intentar acceder a datos de los que ahora deberían ser excluidos.

Esto es precisamente lo que ocurrió con el Transformations Autism Treatment Center (TACT), en Bartlett, Tenn. Uno de sus empleados, un analista de comportamiento, Jeffrey Luke, fue despedido. El TACT hizo lo que muchas empresas hacen: finalizó su acceso a datos confidenciales y cambió la dirección de correo electrónico autorizada para acceder a sus datos. En este caso, el TACT mantuvo sus registros de pacientes en la nube. Los pasos que dio fueron consistentes con lo que uno esperaría de una entidad que esté bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés).

Todo se vio bien hasta el mes siguiente, cuando el TACT notó que se había accedido a la información sobre 300 clientes antiguos y actuales de TACT. El director ejecutivo, en declaraciones a la Campaña Comercial, explicó cómo TACT notó que se habían movido los archivos, e inmediatamente llamó a la policía, que contactó al FBI.

La dirección IP que se utilizó en el compromiso de la dirección de correo electrónico se remonta a la residencia de Luke, según el Departamento de Justicia. La búsqueda posterior en la residencia de Luke encontró que tenía en su computadora registros de pacientes, formularios y plantillas, así como registros de un antiguo empleador, Servicios de Conducta y Consejería (BCS) en Somerville, Tenn. Los datos de BCS también contenían datos de pacientes.

Luke se declaró culpable del crimen y fue sentenciado este mes a 30 meses de prisión y tres años de libertad supervisada, y se le ordenó pagar aproximadamente $ 15,000 en restitución. Aunque a pesar de que se declaró culpable, apeló su sentencia el 14 de marzo ante el Tribunal de Apelaciones de los EE. UU.

Lecciones en abundancia

Claramente, el uso de una dirección de correo electrónico compartida hizo que la empresa sea vulnerable a casos como el sucedido. Tuvo que ser necesario un acto visible dentro de la plataforma, en esta situación el movimiento de datos, para dar a la empresa una pista de que se estaba accediendo a los datos de forma no autorizada.

El seguimiento de actividad de las empresas de la nube es bueno, pero no habría forma de saber quién estaba accediendo a los datos solo revisando la actividad. En el caso de que solo hubiera habido una cuenta con acceso pero varios usuarios manejando esa misma cuenta. Las credenciales compartidas son el primer pecado de seguridad de la información.

La anomalía que facilitó el TACT para llegar a casa en Luke fue que, poco después de su partida, accedió al servidor y autorizó un acceso compartido a su cuenta personal de e-mail. Con esta huella, estaba presente una pista inequívoca. La autorización provino de la cuenta comprometida y se produjo después de la finalización. Cómo Luke obtuvo acceso a la cuenta si la contraseña había sido cambiada no se explicó completamente en los documentos judiciales, y los medios lo llamaron un “truco”.