Las medidas de seguridad de Fertility Centers of Illinois protegían los historiales médicos electrónicos, pero los atacantes llegaron a datos extremadamente íntimos de los archivos administrativos.
Los datos sanitarios protegidos de casi 80.000 pacientes de Fertility Centers of Illinois (FCI) podrían haber sido objeto de un ciberataque.
El aviso de violación de datos de FCI (PDF) decía que la organización sanitaria detectó por primera vez actividades sospechosas en sus sistemas internos el 1 de febrero de 2021. Una investigación posterior indicó que los sistemas de seguridad habían bloqueado el acceso de los atacantes a los sistemas de registros médicos electrónicos de los pacientes. Sin embargo, los intrusos consiguieron acceder a archivos y carpetas administrativas.
Según el sitio de violación de datos de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS) de EE. UU., la violación, informada el 27 de diciembre, afectó a 79,943 personas.
Un tesoro en datos comprometidos
Los archivos a los que se accedió incluían:
- Los nombres de algunos pacientes.
- Números de identificación asignados por el empleador.
- Números de pasaporte.
- Números de la Seguridad Social.
- Información de cuentas financieras.
- Información de tarjetas de pago.
- Información de tratamiento diagnóstico.
- Médicos tratantes/referentes.
- Número de expediente médico.
- Información de facturación médica/reclamaciones.
- Información de prescripción/medicación.
- Información de identificación de Medicare/Medicaid.
- Números de grupos de seguros médicos.
- Números de abonado al seguro médico.
- Números de cuenta de los pacientes.
- Información sobre salud y jubilación.
- Índice maestro de pacientes.
- Información relacionada con la salud laboral.
- Información sobre otras prestaciones y derechos médicos.
- Otros números de identificación médica.
- Claves de acceso/motivos de ausencia.
- Certificado de enfermedad.
- Nombres de usuario y contraseñas con PIN o información de inicio de sesión de cuentas.
- Centros médicos asociados a la información de los pacientes.
El gran negocio de los datos extremadamente íntimos
El robo de este tipo de datos es un gran negocio, por ello, el FCI también ha reforzado la formación en prácticas de seguridad de los empleados y ha ofrecido un año de supervisión crediticia y protección contra el robo de identidad gratuitas a través de Equifax.
«Tengan la seguridad de que hemos invertido considerables recursos para garantizar que esa vulnerabilidad no exista en el futuro», concluyó FCI.
«Las organizaciones sanitarias dependen de dispositivos y programas informáticos de fácil acceso suministrados por el proveedor y conectados a una red externa para funcionar. Estos dispositivos complejos e interconectados afectan a la seguridad y la privacidad del paciente», según el HHS.
He aquí la importancia de educar apropiadamente a los empleados de la empresa en términos de ciberseguridad. Os recordamos que Hispasec cuenta con un equipo de formación a disposición con un amplio catálogo.
Fuentes:
www.threatpost.com/cyberattackers-data-80k-patients-fertility-centers-illinois/177467
.
