La ministra de Salud Pública, Ximena Garzón, confirmó en una rueda de prensa, el 27 de julio, la filtración de una base de datos que contiene la información privada de las personas que se han realizado  pruebas de covid-19 —1,5 millones de personas— que está bajo la custodia de esa entidad. No especificó si son pruebas hechas en la red de salud pública o incluye también a aquellas hechas en entidades privadas. 

La información estaba incluida en un sitio web del Ministerio de Salud Pública (MSP), lanzado el domingo 25 de julio de 2021. La web contenía información estadística sobre el número de contagios de covid-19 en el país, las personas fallecidas y hospitalizadas. Esta información se presentó de forma interactiva usando la herramienta Tableau Public —un software gratuito para analizar y visualizar datos estadísticos—,  debía reemplazar el boletín diario que emite  esta institución con la información actualizada de la pandemia. La página que ya no está disponible, contenía un ítem que permitía descargarse la información privada de cientos de miles de personas, incluyendo niños. 

¿Qué pasó con la página?

Hasta hoy, miércoles 28 de julio, la página se encuentra deshabilitada desde el domingo que sucedió la filtración. El último boletín actualizado con los datos sobre la pandemia fue enviado por el MSP el lunes 26 de julio.

¿Qué datos contenía la página?

Noticias Más Recientes

La página contenía información sensible como nombres, apellidos, números de cédula, teléfonos, números de historias clínicas, diagnósticos médicos y comorbilidades de los usuarios. La información se podía descargar, pulsando un botón de descarga, sin ningún tipo de restricción, sin necesidad de registro o clave.

En la misma rueda de prensa, el viceministro de Gobernanza y Vigilancia de la Salud, José Ruales Estupiñán, dijo que hubo “ingresos ilegales”. “Es una base amplia que ha sido ya bloqueada y se han puesto ya todas las medidas de seguridad para evitar que haya nuevos ingresos ilegales y se pueda sacar información. La información no ha sido publicada. No estuvo de manera pública en la página, sino que ingresó a la cuenta del estadístico y de ahí se obtuvo la información”, dijo a pesar de que la información sí estuvo disponible de manera pública por varias horas. 

Garzón aclaró que ya pidió a “las personas encargadas” un informe de por qué ocurrió esa filtración aunque no especificó quiénes eran—; además afirmó que enviará el caso a la Fiscalía para que lo investigue y determine «si fue un error por negligencia en el manejo de datos confidenciales o si fue una falla voluntaria». Adelantó que habrá sanciones administrativas en contra de las personas que debían custodiar esa información.

La Ministra también explicó que después del incidente se han hecho cambios en las áreas afectadas por la filtración, para resguardar la información y dijo que el Ministerio de Salud Pública (MSP) está tomando las medidas necesarias para reforzar los protocolos de seguridad interna. También dijo que ha ratificado el compromiso del gobierno de Guillermo Lasso de actuar con transparencia y entregar a la ciudadanía el acceso a la información por medio de datos estadísticos.

Uno de los principales cuestionamientos, hechos por Carlos Oporto, —quien actualiza una base de datos con todas cifras relacionadas a contagiados, vacunación, fallecidos y el número de hospitalizados—. Oporto dice que la información  fue publicada desde una cuenta personal que pertenece a ​​Christian Godoy— funcionario del MSP— y no desde una institucional. El MSP no se ha pronunciado sobre eso. 

¿Por qué sucedió la filtración?

Ibai Fernádez, experto informático, explica que la filtración de la base de datos del MSP pudo haber sido con “alevosía”, porque Tableau es un software de fácil acceso y pensado para que todas las personas puedan acceder, por lo que “no se trata de una programación avanzada por configuración” dice el experto. “Este tipo de aplicaciones generalmente tienen un interfaz visual intuitiva al máximo, como podría ser la de cualquier red social.

Fernandez dice que la configuración de este programa se puede especificar si la información es pública o privada y al parecer “lo que sucedió es que la data fue publicada sin ningún tipo de restricción” porque es  tan fácil como “me meto en tu cuenta y filtró la información”. El experto compara el nivel de uso como cuando una persona entra a una red social y decide quién puede ver su foto de perfil y puede escoger entre hacerla completamente pública, que la vean solo sus amigos o personas concretas.

Según Martín Fierro, ingeniero en sistemas, este programa permite presentar la información que fue subida desde un documento que puede estar en cualquier formato (Pdf, Excel o cualquier otro y se puede filtrar acorde a lo que la persona desea mostrar. Por ejemplo, en una base de datos con 20 ítems, se puede mostrar la correlación de tres de ellos y excluir los otros.
Fernandez explica que aunque Tableau es un programa que puede ser utilizado de forma intuitiva, se requiere que la persona tenga cuidado al momento de generar las visualizaciones porque en algunas ocasiones, el programa puede ser un poco confuso y se puede escapar cierta información si no se realiza un proceso minucioso.

¿Qué es Tableau Public?

Tableau Public advierte en su página web que “es una plataforma de datos públicos (no privados)”. El usuario debe cargar un archivo con los datos a Tableau Public para crear infografías o cualquier tipo de visualización. Al momento en que el usuario quiere publicar sus gráficos, el software le alerta que todos los datos que consten en el archivo se harán públicos y le pide que se asegure de que no existan datos confidenciales. Si hay datos privados, el usuario debe borrarlos antes de publicar su trabajo. 

¿Qué pasa con la seguridad de datos en el país?

En los últimos días, usuarios especializados en la materia han denunciado en Twitter que en la dark web se están vendiendo las bases de datos del Banco Pichincha, PetroEcuador, IESS, SRI. En total son 301 gigabytes que se están ofreciendo. También ha habido otros ataques a entidades como CNT, que fue del tipo ransomware —cuando un virus impide que los usuarios accedan a su sistema o a sus archivos, y que exige el pago de un rescate para poder acceder de nuevo a ellos. Este tipo de virus puede atacar diversas instancias: el sitio, la red o las bases de datos.  Los especialistas también han difundido información acerca de ataques a otras entidades del Estado, que no han sido confirmadas oficialmente, al contrario, estas afirmaciones fueron desmentidas por la ministra de Telecomunicaciones, Vianna Maino.