McLaren Health Care, con sede en Michigan, ha confirmado que la información personal y de salud sensible de 2,2 millones de pacientes se vio comprometida durante un ciberataque a principios de este año. Posteriormente, una banda de ransomware se atribuyó el mérito del ciberataque.
En un nuevo aviso de violación de datos presentado ante el fiscal general de Maine, McLaren dijo que los piratas informáticos estuvieron en sus sistemas durante tres semanas, del 28 de julio al 23 de agosto, antes de que la compañía de atención médica se diera cuenta una semana después, el 31 de agosto.
McLaren dijo que los piratas informáticos accedieron a los nombres de los pacientes, su fecha de nacimiento y número de Seguro Social, y a una gran cantidad de información médica, incluida información de facturación, reclamos y diagnóstico, detalles de recetas y medicamentos, e información relacionada con resultados de diagnóstico y tratamientos. También se tomó información de los pacientes de Medicare y Medicaid.
McLaren es un proveedor de atención médica con 13 hospitales en todo Michigan y alrededor de 28.000 empleados en total. McLaren, cuyo sitio web promociona sus medidas de eficiencia de costos, obtuvo más de 6 mil millones de dólares en ingresos en 2022.
La noticia del incidente se conoció en octubre cuando la banda de ransomware Alphv (también conocida como BlackCat) se atribuyó la responsabilidad del ciberataque, alegando que tomó información personal de millones de pacientes. Días después de que se revelara el ciberataque, la fiscal general de Michigan, Dana Nessel, advirtió a los residentes del estado que la infracción “podría afectar a un gran número de pacientes”.
TechCrunch ha visto varias capturas de pantalla publicadas por la pandilla de ransomware en su sitio de filtración en la web oscura que muestran el acceso al administrador de contraseñas de la compañía, estados financieros internos, cierta información de los empleados y hojas de cálculo con información personal y de salud relacionada con los pacientes, incluidos nombres, direcciones, números de teléfono, Números de Seguro Social e información de diagnóstico.
Alphv/BlackCat afirmó en su publicación que la pandilla había estado en contacto con un representante de McLaren, sin proporcionar pruebas de dicha afirmación.
Cuando contactamos por correo electrónico, el portavoz de McLaren, David Jones, se negó a hacer comentarios más allá de la declaración pública de la compañía o responder a nuestras preguntas sobre el incidente. El portavoz no dijo si la empresa recibió una demanda de pago o si pagó a los piratas informáticos. McLaren no permitió que su director de seguridad de la información, George Goble, estuviera disponible para una entrevista.
McLaren se enfrenta actualmente al menos a tres demandas colectivas relacionadas con el ciberataque.