Hoy voy a hablar de IDU, es un instituto de salud ubicado en Viña del mar, Chile. Se descubrió que uno de sus servidores estaba completamente abierto y desprotegido.
idu.cl es una institución dedicada exclusivamente a la urología, rama de la medicina que trata las enfermedades del sistema urinario (riñones, vejiga, uretra) tanto en hombres como en mujeres, así como el aparato reproductor masculino.
¿Qué fue expuesto?
 |
| captura de pantalla del servidor expuesto sin protección 4 de noviembre |
El pasado 4 de noviembre descubrí que este servidor desprotegido estaba exponiendo aproximadamente 23 GB de archivos pertenecientes al instituto, los cuales contenían información de pacientes e información personal sensible. Según mis registros, el servidor se encontraba expuesto desde julio del mismo año, lo que implica que cualquier persona que lo hubiera descubierto podría haber descargado todo ese material sin ninguna protección ni autenticación.
Archivos Desprotegidos
Los archivos en formato JSON exponían datos sensibles de pacientes, tales como: número de orden, RUT, nombre completo, fecha de toma de muestra, convenio, fecha y lista de exámenes realizados. A continuación se muestra una muestra representativa.
Otros archivos, como PDFs, mostraban exámenes de pacientes con sus datos personales completamente expuestos. Logré enumerar aproximadamente 15.000 archivos en formato PDF que estaban accesibles de forma pública. Estos documentos incluían información sensible como: nombre del paciente, edad, RUT, solicitante, sexo, número de orden, fecha de ingreso, fecha de revisión, fecha de toma de muestra, convenio, programa, observaciones y, por supuesto, los resultados del examen (en este caso, por ejemplo, análisis de orina).
NOTIFICACIÓN
El día 4 de noviembre de 2025 envié un correo electrónico al Instituto Diagnóstico Urológico (IDU), en el cual describí detalladamente los hechos ocurridos y advertí que su servidor mantenía desprotegida información sensible de pacientes y resultados de exámenes. A la fecha no he recibido respuesta alguna por parte de la institución. El 13 de enero de 2026 constaté que el servidor aparecía como cerrado, por lo que remití un nuevo correo solicitando alguna colaboración o aclaración al respecto, sin obtener respuesta. Asimismo, desconozco si la entidad ha reportado este incidente de seguridad a la Agencia Nacional de Ciberseguridad (ANCI), tal como lo exigiría la normativa vigente en casos de exposición de datos personales de salud.
.png)
