El 4 de marzo, el centro de cancerología 21st Century Oncology Holdings informó que sufrió una brecha que afectó a 2 millones de pacientes. La investigación realizada por la Oficina Federal de Investigación (FBI) y una firma forense reveló que el robo de la información de los pacientes, que incluía nombres, números de seguridad social, nombres de los médicos, tratamientos y datos de las aseguradoras, se realizó en noviembre pasado después de que los criminales cibernéticos tuvieron acceso a la base de datos del centro en octubre.
En un comunicado, la institución señaló, “El FBI nos pidió retrasar la notificación o hacer público el incidente hasta ahora con el fin de no interferir con su investigación. Ahora que ya se nos ha permitido, le estamos notificando a los pacientes lo más rápidamente posible. Continuaremos colaborando con el FBI en la investigación que realiza de la intrusión a nuestro sistema”.
La compañía originaria de Fort Myers, que opera 15 centros de cancerología en Estados Unidos, y 36 más en América Latina, señaló que hasta ahora no hay evidencia del mal uso de la información expuesta de los pacientes. Si bien el FBI ya autorizó informar sobre este incidente, aún continúan las investigaciones para conocer el alcance y la gravedad de la brecha.
En otro incidente reportado la semana pasada, City of Hope, una unidad de investigación y tratamiento de Duarte, California, reportó que en enero de 2016 fue víctima de un ataque de correo electrónico de phishing. El ataque llevó al acceso no autorizado a las cuentas de correo electrónico de cuatro miembros de su personal, incluyendo a tres que contenían información protegida, como nombres de los pacientes, números de expedientes médicos, fechas de nacimiento, direcciones, e información adicional sobre los pacientes y su estado salud.
Si bien los métodos que se utilizaron en el incidente de City of Hope pudieran diferir, es uno de los numerosos ataques que se dirigen a la industria de la salud, y es poco probable que sea el último. De acuerdo con un análisis de los reportes de incidentes de brechas de datos que se han hecho públicos de los últimos diez años, casi 27% de todas las brechas registradas han afectado a la industria de la salud.
Los ataques a la industria de la salud pueden explicarse por el hecho de que tiene en su poder información que podría ser rentable. Los datos extraídos y la información de los clientes de las compañías de salud son una mina de oro para los criminales, pues la información personalmente identificable que se toma de estos expedientes puede utilizarse fácilmente para abrir cuentas usando identidades robadas, venderse en los mercados negros, e incluso utilizarse para chantajear y para otros esquemas de extorsión. Además, el número de incidentes que involucran el robo de datos médicos demuestra que estos datos no son muy seguros, lo que los hace un blanco ideal.
En Preparando el Terreno: Los Cambios en el Panorama Dictan las Futuras Estrategias para Responder a las Amenazas, el sector salud se identifica como la industria a la que afectaron más las brechas de datos que se presentaron en 2015. Entre los casos más sonados del año pasado, los criminales tuvieron acceso a 90 millones de expedientes médicos de los pacientes, los que incluían números de seguridad social, datos clínicos e incluso información financiera.
Christopher Budd, Director de Comunicaciones Globales de Amenazas de Trend Micro, aseguró, “Los datos relativos a la salud representan el ‘santo grial’ en términos del robo de datos. Cuando la información de tarjetas de crédito es robada, los criminales pueden utilizarla únicamente hasta que las tarjetas de crédito o de débito sean canceladas. Pero, ¿cómo puede ‘cancelar’ su número de seguridad social? No puede hacerlo”.
En el momento de escribir este blog, 21st Century Oncology ya había notificado debidamente a los pacientes afectados, quienes cuentan ahora con un servicio gratuito de protección de crédito durante un año. También se ha montado un centro de atención telefónica dedicado a atender a dichos pacientes. La compañía prometió reforzar la seguridad, por lo que añadió una capa de protección extra en sus protocolos de seguridad internos.
Leave a Reply