Hackers roban datos de 6 millones de pacientes de proveedora de servicios farmacéuticos en EE. UU

Una de las mayores proveedoras de servicios farmacéuticos de Estados Unidos, PharMerica, ha confirmado que los hackers accedieron a los datos personales de casi seis millones de pacientes. La compañía con sede en Kentucky, que opera en más de 2.500 instalaciones en todo el país, descubrió actividad sospechosa en su red informática el 14 de marzo. Tras una investigación interna, se descubrió que un "tercero desconocido" había accedido a sus sistemas días antes y había robado la información personal de 5,8 millones de individuos, tanto actuales como fallecidos. Los hackers obtuvieron nombres, fechas de nacimiento, números de seguridad social, información de medicamentos y seguros de salud de los pacientes.

Datos sensibles robados

Sin embargo, muestras de los datos filtrados sugieren que los hackers también robaron información de salud protegida de al menos 100 pacientes, incluyendo información sobre alergias, números de Medicare y diagnósticos detallados, incluyendo detalles sobre enfermedades relacionadas con el alcohol, las drogas y la salud mental. La información robada fue publicada en el sitio de filtración en la dark web del grupo de ransomware Money Message, una operación relativamente nueva que se observó por primera vez en marzo y que se atribuyó el ataque cibernético. Money Message afirma haber robado un total de 4,7 terabytes de datos de PharMerica y su empresa matriz, BrightSpring Health, un proveedor de servicios de salud basados en el hogar y la comunidad.

¿Ransomware?

El mismo grupo de ransomware se atribuyó la responsabilidad del ataque cibernético contra el fabricante de hardware taiwanés Micro-Star International, conocido como MSI, que comprometió grandes cantidades de datos, incluyendo las claves privadas de firma de código de la compañía. Ni PharMerica ni BrightSpring Health han confirmado que la naturaleza del incidente fuera un ransomware, y un portavoz de BrightSpring Health no respondió a las preguntas de los medios.

Pasos adicionales para evitar futuros incidentes

En una declaración publicada en su sitio web, PharMerica dijo que está tomando medidas adicionales para reducir la probabilidad de que ocurra un evento similar en el futuro, pero no especificó cuáles son esas medidas. Con casi seis millones de pacientes afectados, el incidente de PharMerica es la mayor violación de datos de atención médica hasta ahora este año. La segunda violación más grande involucra a la firma médica del sur de California Regal Medical Group, que confirmó en enero que los datos de más de 3,3 millones de pacientes habían sido accedidos.

Brechas en telemedicina

La startup de telemedicina Cerebral, que sufrió la tercera violación más grande, confirmó en marzo que la información de salud privada, incluyendo evaluaciones de salud mental, de más de 3,1 millones de pacientes en Estados Unidos había sido compartida con anunciantes y gigantes de las redes sociales. Este incidente pone de manifiesto la necesidad de que las startups de telemedicina presten atención a la seguridad de los datos y las posibles violaciones de privacidad. La lucha contra el seguimiento de píxeles en la telemedicina es una advertencia para todas las startups.