Incidentes Asociados
Serviceaide, proveedor de software de gestión de TI y flujo de trabajo basado en inteligencia artificial, informó a los reguladores que una exposición involuntaria de datos en la web afectó a más de 483.000 pacientes de Catholic Health, una red de seis hospitales y docenas de otros centros en el oeste de Nueva York.
Serviceaide, con sede en California, reportó el incidente como una violación de acceso/divulgación no autorizados al Departamento de Salud y Servicios Humanos de EE. UU. el 9 de mayo. Hasta el viernes, varios bufetes de abogados especializados en demandas colectivas ya habían emitido avisos públicos indicando que estaban investigando la violación para posibles demandas.
Serviceaide, en su aviso de violación, indicó que el 15 de noviembre de 2024 se enteró de que "cierta información de su base de datos Elasticsearch de Catholic Health se hizo pública inadvertidamente".
En respuesta al descubrimiento, Serviceaide afirmó que tomó medidas rápidamente para proteger la base de datos de Catholic Health e inició una investigación. La investigación determinó que, entre el 19 de septiembre de 2024 y el 5 de noviembre de 2024, ciertos datos de pacientes fueron expuestos públicamente.
"La investigación no identificó ninguna evidencia de copia de información, pero no podemos descartar este tipo de actividad", declaró Serviceaide.
"Por lo tanto, se contrató a un proveedor de revisión de datos para que realizara una revisión exhaustiva y exhaustiva de los datos potencialmente afectados con el fin de identificar cualquier información personal de salud contenida en ellos y a quién se refiere dicha información. Esta revisión se completó recientemente", declaró la compañía.
Entre la información potencialmente afectada se encontraban el nombre, el número de Seguro Social, la fecha de nacimiento, el número de historial médico, el número de cuenta del paciente, información médica y de salud, información del seguro médico, información sobre recetas y tratamientos, información clínica, nombre del proveedor, ubicación del proveedor, nombre de usuario y contraseña del correo electrónico. El tipo específico de información potencialmente comprometida varía según el individuo, indicó la compañía.
En respuesta al incidente, Serviceaide afirmó que ha implementado medidas de seguridad adicionales para ayudar a prevenir incidentes similares en el futuro. La compañía también ofrece a las personas afectadas 12 meses de monitoreo de crédito e identidad gratuito.
Un breve comunicado de Catholic Health en su sitio web indica que uno de sus proveedores, Serviceaide, sufrió una filtración de datos que resultó en la exposición en línea de información limitada de los pacientes.
Serviceaide está enviando cartas de notificación a los pacientes potencialmente afectados, y Catholic Health ha remitido al público al aviso de filtración publicado en su sitio web.
Ni Serviceaide ni Catholic Health respondieron de inmediato a las solicitudes de Information Security Media Group para obtener más detalles y comentarios sobre el incidente.
Casos Similares
La exposición involuntaria de información médica protegida, que implica configuraciones informáticas incorrectas y problemas similares, no es infrecuente, pero en algunos casos, estos incidentes han resultado en cuantiosas multas por parte de los reguladores federales y estatales, así como en acuerdos judiciales civiles.
En diciembre, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS) multó a Inmediata Health Group, una cámara de compensación con sede en Puerto Rico, con $250,000 como parte de un acuerdo de HIPAA relacionado con un incidente similar ocurrido en 2019 que expuso a la web la información médica protegida (PHI) de 1.6 millones de pacientes (véase: Cámara de compensación paga $250,000 en acuerdo por violación de la exposición web). La filtración de datos de Inmediata Health Group también fue objeto de un acuerdo de 1,4 millones de dólares en 2023 con 33 fiscales generales estatales y de un acuerdo civil de 1,1 millones de dólares en 2023 en una demanda colectiva federal propuesta contra la empresa (véase: 33 fiscales generales estatales resuelven 3 casos de filtración de datos de salud). Más recientemente, el jueves, la Oficina de Responsabilidad Civil del HHS (HCR) Vision Upright MRI declaró, un pequeño proveedor californiano de servicios de imágenes médicas, acordó pagar a los reguladores federales una multa de $5,000 e implementar un plan de medidas correctivas para mejorar sus prácticas de seguridad de datos tras una investigación sobre una vulneración de la HIPAA reportada en diciembre de 2020 que también involucró información de pacientes expuesta en la web.
Los reguladores federales indicaron que VUM mantiene un servidor de sistema de comunicaciones de imágenes y archivo que contiene imágenes médicas, incluyendo radiografías, resonancias magnéticas y tomografías computarizadas. El incidente involucró información médica protegida (PHI) mantenida o almacenada por VUM, accesible en internet y divulgada debido a un servidor PACS inseguro. La Oficina de Responsabilidad Civil del HHS (HHS OCR) declaró que su investigación sobre el incidente determinó que VUM nunca realizó un análisis de riesgos de la HIPAA y que la empresa no completó la notificación de la infracción a tiempo, dentro de los 60 días posteriores al descubrimiento de la misma.
VUM no respondió de inmediato a la solicitud de comentarios de ISMG sobre el acuerdo.
El acuerdo de resolución de la Oficina de Responsabilidad Civil del HHS con VUM es la decimocuarta aplicación de la HIPAA por parte de la agencia federal en lo que va de 2025.