Incidentes Asociados
Serviceaide, Inc., una empresa asociada con sede en San José, California, que ofrece agentes basados en IA para la gestión de TI y flujos de trabajo, ha anunciado una importante filtración de datos que afecta a casi medio millón de pacientes del sistema de salud Catholic Health, compuesto por seis hospitales en Buffalo, Nueva York.
Serviceaide presta servicios de gestión de soporte de tecnologías de la información a Catholic Health, que requiere acceso a la información médica electrónica protegida de los pacientes. El 15 de noviembre de 2024, Serviceaide descubrió que cierta información de su base de datos Elasticsearch de Catholic Health había sido expuesta en línea y se podía acceder a ella sin autenticación.
Serviceaide inició una investigación que reveló que la base de datos había estado expuesta en línea durante aproximadamente seis semanas, entre el 19 de septiembre de 2024 y el 5 de noviembre de 2024. La investigación no encontró evidencia que sugiera que la información de la base de datos hubiera sido copiada por personas no autorizadas durante la exposición, pero no fue posible descartar la posibilidad de que se hubieran copiado datos confidenciales.
Se revisó la base de datos y se encontró que contiene información médica personal y protegida de 483,126 pacientes de Catholic Health, incluyendo nombres, fechas de nacimiento, números de Seguro Social, números de historial médico, números de cuenta del paciente, información médica/de salud, información del seguro médico, información de tratamientos, recetas médicas, información clínica, nombres y ubicaciones de los proveedores, y correos electrónicos/nombres de usuario y contraseñas. Los tipos de datos involucrados variaban según la persona, y al momento de emitir las cartas de notificación, Serviceaide desconocía cualquier uso indebido de los datos expuestos.
Serviceaide envió recientemente cartas de notificación a las personas afectadas e informó a la Oficina de Derechos Civiles del HHS sobre la filtración de datos el 9 de mayo de 2025. Serviceaide está implementando medidas de seguridad adicionales para prevenir filtraciones similares en el futuro, y se han puesto a disposición de las víctimas servicios gratuitos de monitoreo de crédito y protección contra el robo de identidad.
Las entidades reguladas por la HIPAA deben asegurarse de contar con políticas y procedimientos para verificar los controles de autenticación en el almacenamiento en la nube, ya que las bases de datos expuestas son una causa común de filtraciones de datos. La semana pasada, la Oficina de Derechos Civiles del HHS anunció un acuerdo con un proveedor de servicios de resonancia magnética de California (https://www.hipaajournal.com/vision-upright-mri-hipaa-penalty/) después de que se expusieran datos en línea, y el centro de intercambio de información sobre atención médica de Puerto Rico (Inmediata) también fue multado recientemente por exponer datos médicos confidenciales en línea.