Portada
Hace 9 años | Por --418333-- a es.gizmodo.com
Publicado hace 9 años por --418333-- a es.gizmodo.com
Contraseña: 1234. La lamentable seguridad en hospitales españoles

Contraseña: 1234. La lamentable seguridad en hospitales españoles

 es.gizmodo.com

La utilización de sistemas informáticos en hospitales y centros sanitarios no es nada nuevo. Se utiliza para categorizar información, acceder a datos críticos y complementarios sobre las enfermedades y almacenar bases de datos. En el caso de algunos hospitales españoles la teoría es así de bonita. ¿La práctica? Un agujero de seguridad.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 529 40

Comentarios

sorrillo

Si alguien lo hace mal es culpa de esa persona, si todos lo hacen mal es culpa de quien ha diseñado el sistema.

V 7
K 92
D
autor

#2 Efectivamente: "...desde hace unos 3 años, los datos de acceso que se generan para cada médico son su DNI más 1234. La mayoría de doctores no sabe cambiarla o IT pasa del tema, así que así se quedan”..

V 10
K 103
D

#2 también puede ser que el colectivo sea algo especialito

V 5
K 42
Mister_Lala

Las passwords de los usuarios a veces son para descojonarse. No voy a citar ninguna de la empresa donde trabajo, porque pueden reconocerme, pero encuentra uno de todo ahí.

V 7
K 81
D

#3 Si tienes acceso a los password en plano, hay un problema de seguridad.

Hay que guardar un hash!

V 2
K 24
Mister_Lala

#28 Eso hacemos ahora, un hash con salt & pepper, desde que un cliente se quejó. Pero durante años han estado como texto plano.

V 0
K 10
D

#29 Yo ahora lo que hago es que se logueen con oauth o con su correo pero sin contraseña.

Cada vez que quieren iniciar sesión mediante correo, les envío un nonce que tienen que introducir, de modo que el usuario demuestra ser quien dice porque tiene acceso a la cuenta de correo.

Que sea su proveedor de correo quien se preocupe de la seguridad de las contraseñas.

V 0
K 10
rogerius

Nunca lo hubiera imaginado.

V 6
K 76
D
autor

#9 Pues díselo a ellos, coño... Yo me limito a subir la noticia con el titular que lleva. Tú votas sensacionalista, y aquí se acaba la historia.

V 5
K 59
Hi.

Me gustaría que Lill se pasase por aquí lol lol

Soy administrador de sistemas de un gran hospital en Cataluña. Pregúntame

Hace 9 años | Por --10900-- a
Publicado hace 9 años por --10900-- a

Soy administrador de sistemas de un gran hospital ...

V 4
K 51
D

#15 Mande?

V 4
K 36
bruster

Hace unos cuantos años hice una consulta sobre en bbdd para ver cuantas contraseñas eran 1234 en los dial-up de cierta compañía de telco. Y era bastante impresionante el porcentaje.
PD:sí, las contraseñas no estaban encriptadas ni nada.

V 3
K 42
D

(no he encontrado la escena en español)

V 2
K 40
D

¡Coño! el PIN de mi móvil y tarjetas.

V 5
K 40
ElPerroDeLosCinco

#6 ¡Las mías también! Pero supongo que nuestros DNI serán diferentes, sería mucha casualidad. El mío es 18.304.211R ¿Y el tuyo?

V 4
K 60
D

#18 el 14.

V 7
K 65
D

Es asombroso, es la misma contraseña que le pongo a mis maletas.

V 1
K 27
k

Las etiquetas de los numeros parecen de barrio sesamo

V 1
K 27
w
editado

Bueno, respecto a HORUS, no tengo ni idea. Pero respecto al login y la seguridad de los PCs en concreto...SI.

Trabaje casi 2 años migrando los hospitales de la CAM al Área única y las políticas de seguridad de la contraseña, eran

Mínimo 8 caracteres alfanumericos, con mayúsculas y números. No puede ser ni nombre, ni DNI, ni repetirse y se cambia cada 3 meses.
Aparte de decir a los usuarios que bloquearan el equipo cuando se fueran, por GPOs se bloquean cada 15 minutos
Y cada PC que quiera unirse a la red, tiene que cargar las GPOs (y por tanto estar auditado por la central) para poder entrar en la red del hospital, y pertenecer a ciertos grupos y con distintos perfiles de usuario. No es llegar y enchufar.

Ya el tema de que usen usuarios genericos, se dejen post it con el usr password y demas aspectos de la seguridad de la interfaz silla-teclado, era una batalla constante. Se supone que todo eso, no se puede y no se debe hacer, pero es luchar contra lo cuasi imposible

Saludos

V 1
K 22
Candidatas
30
meneos
actualidad Oviedo compra a un fondo suizo la fallida galería comercial del edificio de Calatrava sin tener claro para qué la usará
31
meneos
actualidad Cantante de 35 años muere en el escenario tras recibir una descarga eléctrica(portugués, Brasil)
43
meneos
actualidad Los hutíes de Yemen amenazan a Israel con una "respuesta enorme" e Irán avisa de una "escalada" en la región
36
meneos
actualidad 8 nuevos espacios aumentan la protección marina en España
31
meneos
actualidad Una encuesta refleja el error político de Abascal al romper el Gobierno de Murcia por acoger menas
27
meneos
actualidad El Hospital Fundación Jiménez Díaz sufre un incendio en una de sus plantas del que emana "un fuerte olor a plástico quemado"
27
meneos
actualidad El comisionado del municipio de Butler defiende a su Policía y argumenta que durante el atentado contra Trump solo tenía la responsabilidad de controlar el tráfico
40
meneos
actualidad Un pueblo de Castellón cancela un festejo de ‘bous al carrer’ por la “borrachera” del médico responsable
45
meneos
actualidad «Te rompí el retrovisor, llámame»: la nueva estafa que deja la cuenta del banco vacía
19
meneos
actualidad Con Kamala Harris, los demócratas apostarían contra la historia estadounidense de sexismo y racismo [ENG]
18
meneos
actualidad Nuevo retraso y enésima promesa incumplida por Elon Musk, que es adelantado por la derecha por Rimac
54
meneos
actualidad Se derrumba un puente en China: 12 muertos y más de 30 desaparecidos
35
meneos
actualidad La policía prepara un aluvión de detenciones de vecinos del Molinar por el asalto de una vivienda
39
meneos
actualidad Monopoly go: la máquina de generar dinero y adictos
eltiofilo

Errónea, pide al menos 8 caracteres y es 12345678

V 1
K 22
oxnox

#26 Me encanta el estilo menéame, leer el título y a comentar a cascoporro. Leer el artículo es de nenazas. No quisiera hacer un spoiler pero en el articulo mencionan 12 dígitos (DNI+1234)

V 0
K 9
eltiofilo

#34 Si tuvieras algo más de dos neuronas te habrías dado cuenta que era un chiste y no un comentario sobre el meneo.

V 0
K 11
D

Nuestros profesionales saben cambiar su contraseña, de todos los programas. Evidentemente SIEMPRE hay excepciones. Siempre hay personas negadas que por mucho que se les explique, no atienden.

Eso se soluciona forzando el cambio periodicamente, y forzando la complejidad de la contraseña...

V 1
K 17
YHBT

#23 Y así es como logras que los puestos de trabajo estén llenos de notas con las claves de sus ocupantes.

Un clásico: http://xkcd.com/936/

comment_17176847 media
V 6
K 74
D

#24 Los técnicos de microinformatica tienen órdenes explícitas de retirar los post-it si se las encuentran durante alguna intervención.

V 1
K 20
YHBT

#27 No te lo discuto. ¿Sabes cuantos me he encontrado bajo el teclado? ¿En el cajón? ¿En una foto compartida a través del móvil?

Hoy en día es un error obligar a poner una clave que es difícil de recordar para el usuario. Los sistemas de autenticación maduros actuales no están limitados en cuanto a tamaño de clave ni dependen de su propia entropía.

V 1
K 16
D

#31 ojocuidao! Si tienes toda la razón! O se los apuntan en los moviles, o se dicen la contraseña los unos a los otros a viva voz con gente ajena a la empresa...

La gente es muy poco consciente de la importancia de estas cosas. Pero dime tu un sistema de autenticación que sea 100% personal e intransferible....

V 0
K 10
YHBT

#32 Existen otras opciones aun dejando a un lado los sistemas basados en tarjeta identificativa o similar, así como los biométricos, que o bien para que funcionen correctamente son desproporcionadamente caros para lo que se pretende proteger, o bien aun tienen fallos considerables.

Yo a lo que me refería es a que la contraseña no es la que debe ser compleja, sino tener amplia variabilidad. Para que nos entendamos: una contraseña corta es fácil de obtener por fuerza bruta. Una contraseña larga aumenta las variacionesposibles, y con ello la dificultad de obtenerla por medios como el citado.

Si la contraseña larga es, por ejemplo: «Esta es mi contraseña y me la guardo yo», es más difícil de obtener por fuerza bruta que «44}!}?Z[2[I04/t», que no hay quien se acuerde de ella, y provoca precisamente esa situación de las notitas.

Eso además añade otra ventaja. Si bien no está probado que cambiar la contraseña cada periodo fijo tenga un impacto positivo en la seguridad, si la contraseña nueva es fácil de recordar para el usuario, el cambio no supone un esfuerzo, ni la necesidad de anotar la nueva contraseña en un papelito.

Mi consejo a ese respecto sería muy sencillo:

1.- Que la contraseña tenga una longitud mínima mucho mayor que los tradicionales ocho caracteres. Hoy lo soporta cualquier mecanismo de autenticación.

2.- Que sea una frase simple fácil de recordar por el usuario, no identificativa con él. Esto se consigue con pruebas de diccionario: si la contraseña elegida canta en un diccionario —o tiene una afinidad superior a un umbral con una serie de palabras clave vínculadas al usuario y al servicio—, se pide una nueva frase.

3.- Que la frase incluya caracteres especiales propios del idioma. En nuestro caso, vocales acentuadas, la letra 'ñ', y según regiones, la letra 'ç'.

4.- Que la frase incluya mayúsculas y minúsculas, sin seguir un orden específico ni aleatorio: a libertad del usuario.


Adicionalmente, si un auditor programado a tal fin detecta la contraseña de un usuario —o actividad sospechosa en su cuenta—, solicitud de cambio forzado.

V 0
K 6
D

#33 si consigues crear un sistema de autenticación que soporte todo eso, y todo y asi el usuario no necesita apuntarlo, invertiré en ti.

V 0
K 10
YHBT

#37 Era un «externo», sobrino del «interno» que le contrató, y que, como parece ser práctica habitual de su empresa, sembró todolo que hizo de puertas traseras.

V 1
K 13
del_dan

lo de las contraseñas es un atraso, hay que inventar otro método, o quitar los hospitales.

V 0
K 9
D

Mc100%elpmdRd2011

¿Díficil de recordar?

Me cago 100% en la puta madre de Rajoy desde 2011

Success!

V 0
K 9
YHBT

Recuerdo el caso de una administración pública con la que trabajé hace años en la que las claves de administración —sí, de administración— de la base de datos en la que se almacenaba toda la actividad de los servicios prestados era admnombre_administración, donde «nombre_administración» es, efectivamente, el nombre de la administración.

Y hasta aquí puedo contar.

V 1
K 9
S

#22 ¿El que la gestionaba era un externo o un funcionario? En mi anterior curro era un externo y no le dio la contraseña ni a sus compañeros de empresa. Supongo que era lo que se llama "hacerse imprescindible".

En 3 consejerías distintas de la Junta de Andalucia la contraseña caduca cada dos meses y no se puede poner la anterior. Un coñazo... Una cosa es seguridad y otra ir a joder.

V 0
K 7
D

si critican el sistrema de salud español, pues vayan a darse una vuelta por los hospitales cubanos...
http://www.cubanet.org/colaboradores/ministro-de-salud-cubano-considera-que-no-es-una-quimera-garantizar-la-comida-y-otros-insumos/

V 0
K 6
D
editado

El artículo habla de los hospitales madrileños y ya damos por sentado que es igual en el resto de España? anda e iros a la mierda. Ese titular es erróneo y sensacionalista. En mi comunidad me consta que las claves son obligatoriamente mucho mas largas y de caracteres alfanuméricos y la clave caduca cada poco tiempo y obliga a cambiarla y no se puede repetir la misma.

V 3
K -10
D
autor
editado

#7 "Uno de cada tres hospitales no protege los datos clínicos de sus pacientes"

http://cadenaser.com/ser/2010/10/13/sociedad/1286936006_850215.html

Y en algunos sitios los datos clínicos van directamente a la basura.

V 7
K 81
D
editado

#8 ¿eso lo dice en tu noticia? si quieres hablar de hospitales de España publica ese enlace como noticia y no falsees tu titular, o peor, intentes defenderlo ahora con otras noticias. La contraseña 1234 habla de los hospitales de MADRID.

V 1
K 28
D

#9 no me votes positivo y pon en el titular hospitales madrileños, que es lo lógico.

V 0
K 8
D

#8 Este dato me tranquiliza mas:
El porcentaje se dispara hasta casi el 60% entre los centros públicos. roll

V 5
K 64