Ciberataques podrían haber puesto en peligro datos de salud de más de 21,000 personas

Varias entidades de atención en salud en EE. UU. fueron víctimas de recientes ciberataques que podrían haber puesto en peligro los datos de miles de clientes.

Artivion, con sede en Georgia, Ciox Health, con sede en Nueva York, y Amergis, con sede en Columbia Maryland, informaron de la filtración de datos en las últimas semanas. Las intrusiones de Ciox y Amergis afectaron a más de 21,000 personas. La intrusión más reciente afectó a Artivion, fabricante y distribuidor de dispositivos médicos.

El incidente de ciberseguridad de Artivion se detectó el 21 de noviembre, según informó la empresa en un documento presentado el 9 de diciembre ante la Comisión del Mercado de Valores de Estados Unidos. Según la empresa, el ataque consistió en la adquisición y encriptación de sus archivos por parte de hackers. Artivion tomó medidas para hacer frente a la situación.

Aunque la empresa aún presta servicio a sus clientes, la violación de datos «causó interrupciones en algunos procesos de pedidos y envíos, así como en ciertas operaciones corporativas, que en gran medida se mitigaron».

Artivion dijo que espera incurrir en ciertos costes relacionados con el incidente que no serán cubiertos por el seguro.

La violación de los datos plantea diversos riesgos, como retrasos en el restablecimiento de la plena operatividad, que podrían tener un «impacto material» en la empresa en el futuro, dijo la compañía, sin dar más detalles sobre la irrupción.

El 6 de diciembre, la empresa de tecnología de datos en salud Ciox Health empezó a enviar notificaciones a los clientes afectados por una filtración de datos en mayo. Los usuarios del correo electrónico de la empresa fueron objeto de un ataque de suplantación de identidad (phishing), que fue resuelto el mismo día.

En una notificación al fiscal general de Maine, Ciox reveló que 10,639 clientes se vieron afectados, con nombres y otros identificadores personales potencialmente robados. La empresa ofrece 24 meses de servicios de monitoreo de crédito y servicios de protección contra el robo de identidad a las personas afectadas por la filtración.

Los clientes de Amergis se vieron afectados por una filtración de datos que tuvo lugar en febrero. La empresa de contratación de personal sanitario lo notificó a sus usuarios el 29 de noviembre. Amergis estima que 11,329 personas se vieron afectadas, con nombres y otros datos personales potencialmente comprometidos.

Al parecer, los hackers vulneraron el sistema de correo electrónico de la empresa y accedieron a los datos de los clientes. Amergis afirmó no tener pruebas de que se realizara un uso indebido de la información robada.

El sector salud en el punto de mira

Los ataques que involucran ransomware contra organizaciones de la salud continúan aumentando a nivel mundial, según una revisión anual de la empresa de servicios informáticos Barracuda.

El ransomware es un tipo de malware que los hackers utilizan para cifrar los archivos de un dispositivo o una red. Como resultado, el propietario de los datos no puede utilizar estos archivos y se ve obligado a pagar a los hackers para descifrarlos.

Los investigadores de la empresa investigaron 200 incidentes de violación de datos registrados entre agosto de 2023 y julio de 2024, y descubrieron que «más de uno de cada cinco ataques (el 21 por ciento) afectó el sector salud en 2023/24», frente al 18 por ciento de hace un año.

«Algunos de estos ataques fueron noticia en todo el mundo, con el aplazamiento de operaciones y la interrupción de planes de tratamiento a largo plazo», señaló el informe.

Un informe de septiembre de Check Point Research identificó al sector salud como el tercer sector más atacado en términos de ciberataques.

El número promedio de ataques semanales entre enero y septiembre de 2024 por entidad del sector fue de 2018, casi un tercio más que el año pasado.

A principios de febrero, una filtración de datos en la unidad Change Healthcare de UnitedHealthcare puso en peligro los datos de unos 100 millones de estadounidenses. Fue la mayor filtración de datos de salud jamás registrada en Estados Unidos.

Se estima que la información comprometida incluye nombres, números de teléfono, números de historiales médicos, datos de seguros médicos, diagnósticos, información financiera y bancaria, y muchos otros datos cruciales.

Los legisladores están tomando medidas para frenar la crisis de seguridad. En noviembre, un grupo de senadores bipartidistas presentó la «Ley de Ciberseguridad y Resiliencia en Salud de 2024».

El proyecto de ley exigiría al Departamento de Salud y Servicios Humanos elaborar un plan de respuesta a incidentes de ciberseguridad.

Pretende ofrecer subvenciones a las organizaciones sanitarias para impulsar su respuesta a las intrusiones cibernéticas. Las entidades recibirían formación relacionada con las mejores prácticas de ciberseguridad.

El senador Bill Cassidy (R-La.), copatrocinador del proyecto de ley, afirmó que la iniciativa protegería los datos de salud de los ciudadanos estadounidenses frente a los ciberataques. Este tipo de incidentes no sólo ponen en peligro los datos «sino que también puede retrasar la atención que salva vidas», dijo.

La senadora Maggie Hassan (D-N.H.), otra de las copatrocinadoras, afirmó: «Los ciberataques en el sector sanitario pueden tener una amplia gama de consecuencias devastadoras, desde la exposición de información médica privada hasta la interrupción de la atención en urgencias, y puede ser especialmente difícil para los proveedores médicos de las comunidades rurales con menos recursos prevenir y responder a estos ataques».

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí