El sistema de salud sin fines de lucro Norton Healthcare, con sede en Kentucky, confirmó que los piratas informáticos accedieron a los datos personales de millones de pacientes y empleados durante un ataque de ransomware anterior.
Norton opera más de 40 clínicas y hospitales en Louisville, Kentucky y sus alrededores, y es el tercer empleador privado más grande de la ciudad. La organización tiene más de 20.000 empleados y más de 3.000 proveedores en total en su personal médico, según su sitio web.
En una presentación presentada ante el fiscal general de Maine el viernes, Norton dijo que durante su ataque de ransomware de mayo se accedió a datos confidenciales de aproximadamente 2,5 millones de pacientes, así como de empleados y sus dependientes.
En una carta enviada a los afectados, la organización sin fines de lucro dijo que los piratas informáticos tuvieron acceso a «ciertos dispositivos de almacenamiento en red entre el 7 y el 9 de mayo», pero no accedieron al sistema de registros médicos de Norton Healthcare ni a Norton MyChart, su sistema de registros médicos electrónicos.
Pero Norton admitió que luego de una investigación interna «que llevó mucho tiempo», que la organización completó en noviembre, descubrió que los piratas informáticos accedieron a una «amplia gama de información confidencial», incluidos nombres, fechas de nacimiento, números de Seguro Social, información médica y de seguros. y números de identificación médica.
Norton Healthcare dice que, para algunas personas, los datos expuestos también pueden haber incluido números de cuentas financieras, licencias de conducir u otros números de identificación gubernamentales, así como firmas digitales.
No se sabe si alguno de los datos a los que se accedió estaba cifrado.
Norton dice que notificó a las autoridades sobre el ataque y confirmó que no pagó ningún rescate. La organización no nombró a los piratas informáticos responsables del ciberataque, pero el incidente fue reivindicado por la famosa banda de ransomware ALPHV/BlackCat en mayo, según el sitio de noticias sobre violación de datos DataBreaches.net, que informó que el grupo afirmó haber exfiltrado casi cinco terabytes de datos. TechCrunch no pudo confirmar esto, ya que el sitio web de ALPHV era inaccesible al momento de escribir este artículo.
Norton Healthcare es solo una de las muchas organizaciones de atención médica con sede en EE. UU. que experimentó una violación de datos que afectó a millones de personas este año.
El Departamento de Salud y Servicios Humanos de Estados Unidos (HHS, por sus siglas en inglés) dijo recientemente que en los últimos cuatro años se había duplicado con creces el número de “grandes infracciones” reportadas a su Oficina de Derechos Civiles, y casi se había triplicado el número de ataques de ransomware. El departamento del gobierno federal agregó que las infracciones reportadas este año afectaron a más de 88 millones de personas, un 60% más en comparación con 2022.
Según el portal de violación de datos del HHS, el proveedor de atención médica estadounidense HCA Healthcare experimentó la mayor violación de datos de atención médica en 2023 hasta el momento después de que los piratas informáticos publicaran datos confidenciales de aproximadamente 11 millones de pacientes en un conocido foro sobre delitos cibernéticos.
Perry Johnson & Associates, o PJ&A, un servicio de transcripción médica con sede en Nevada, experimentó la segunda mayor filtración de datos de atención médica después de que un ciberataque expuso los datos confidenciales de casi nueve millones de pacientes. A esto le siguió una filtración en el gigante dental estadounidense Managed Care of North America (MCNA), que afectó a 8,9 millones de clientes de la organización.