Hackers roban datos personales de 1,6 millones de pacientes médicos

Hackers acceden a los datos personales de más de un millón de personas en una brecha de seguridad en la plataforma de atención médica Welltok

Welltok, una empresa de participación de pacientes con sede en Denver, confirmó que hackers accedieron a los datos sensibles de más de 1,6 millones de personas al explotar una vulnerabilidad de seguridad en una herramienta de transferencia de archivos utilizada por la plataforma de atención médica propiedad de Virgin Pulse. La compañía emitió una notificación de violación de datos a la oficina del fiscal general de Maine la semana pasada, informando sobre el incidente.

Un aviso tardío de una posible violación de datos

Welltok reveló en una carta enviada a los afectados que fue alertada de una posible violación de seguridad en su servidor MOVEit Transfer, un sistema que permite a las organizaciones mover grandes conjuntos de datos a través de Internet. La compañía inicialmente determinó en julio que no había indicios de una violación, pero una segunda investigación realizada en agosto descubrió que los hackers habían "filtrado ciertos datos" del servidor.

Datos comprometidos

Los datos comprometidos incluyen nombres, fechas de nacimiento, direcciones e información de salud de los individuos afectados. Sin embargo, según una notificación publicada en el sitio web de Welltok, los hackers también accedieron a números de Seguro Social, números de identificación de Medicare y Medicaid, así como información de seguros de salud de algunos pacientes. Esto aumenta el nivel de preocupación, ya que los datos confidenciales y privados de los pacientes han sido expuestos.

Proveedores de atención médica afectados

Aunque inicialmente se informó que la violación solo afectaba a ciertos proveedores de atención médica, como Stanford Health Care y Sutter Health, ahora se ha descubierto que la violación de datos también afectó a otros proveedores de atención médica. Corewell Health, un proveedor de servicios de atención médica en el sureste de Michigan, confirmó que los datos de aproximadamente un millón de pacientes y alrededor de 2.500 miembros de Priority Health se vieron comprometidos por la brecha de seguridad de Welltok. Además, St. Bernards, un proveedor de atención médica con sede en Arkansas, también se vio afectado, según la declaración de la compañía. En total, las notificaciones de violación de datos de Corewell, Sutter y St. Bernards abarcan aproximadamente 1,9 millones de pacientes, una cifra mucho mayor que la revelada por Welltok.

El impacto global de la violación de datos

La violación de datos de Welltok ha sido calificada como uno de los incidentes de piratería más grandes del año en términos del número de individuos afectados. Según los investigadores de la firma de ciberseguridad Emsisoft, más de 2.600 organizaciones en todo el mundo se han visto afectadas por los ataques masivos de MOVEit, la mayoría de las cuales se encuentran en Estados Unidos. Se estima que más de 77 millones de personas han sido afectadas hasta ahora por los ciberataques, que han sido atribuidos a la notoria banda de ransomware Clop. Se espera que el número real de personas afectadas sea significativamente mayor a medida que más organizaciones se presenten.

Un llamado a la acción y a la mejora de la seguridad

La violación de datos de Welltok pone de relieve la necesidad de que las organizaciones de atención médica refuercen su seguridad y protejan adecuadamente los datos confidenciales de los pacientes. Además, destaca la importancia de una notificación oportuna y transparente a los afectados para que puedan tomar las medidas necesarias para proteger su información personal. Esta violación de datos también destaca la necesidad de que las organizaciones implementen soluciones de seguridad más robustas y mantengan sus sistemas actualizados para evitar futuras brechas. La seguridad de los datos personales es una preocupación creciente en la era digital, y es fundamental que las organizaciones tomen todas las precauciones necesarias para proteger la privacidad y la confidencialidad de sus usuarios.