Incidentes Asociados
La empresa de servicios informáticos Serviceaide notificó al Departamento de Salud y Servicios Humanos de EE. UU. (HHS) el 9 de mayo que los datos confidenciales de hasta 483,126 pacientes de Catholic Health podrían haber sido expuestos en una filtración de datos.
En una carta con fecha del 5 de mayo enviada a los pacientes afectados, la empresa declaró haber tenido conocimiento de la filtración de datos de su base de datos Elasticsearch el 15 de noviembre de 2024, tras lo cual inició una investigación sobre el alcance del incidente.
Los investigadores descubrieron que, entre el 19 de septiembre y el 5 de noviembre de 2024, cierta información de los pacientes estuvo disponible públicamente.
Los datos incluían lo siguiente: nombres, números de Seguro Social, fechas de nacimiento, números de historial médico, números de cuenta del paciente, información médica/de salud, información clínica, nombre del proveedor, ubicación del proveedor y correo electrónico/nombre de usuario y contraseñas.
Serviceaide informó a los pacientes que, si bien la investigación no identificó ninguna evidencia de copia de información, no pudieron descartar este tipo de actividad.
Agnidipta Sarkar, vicepresidenta y asesora de CISO en ColorTokens, explicó que la filtración se debió a una configuración incorrecta de IDOR (referencia directa a objeto insegura) que permitió a los hackers acceder sin autorización a datos confidenciales sin evidencia de copia.
Sarkar indicó que esto podría afectar a las personas que reciben atención médica en las 75 ubicaciones de Catholic Health en el oeste de Nueva York, lo que aumenta el riesgo de robo de identidad, fraude financiero y fraude médico, debido a la posible pérdida de información personal y de salud altamente confidencial.
"Hay muchas lecciones que aprender para los equipos de ciberseguridad, pero su implementación es compleja", afirmó Sarkar. "Estas incluyen la prevención de riesgos de configuración incorrecta, la detección tardía, los riesgos de proveedores externos, la exposición de datos confidenciales y las implicaciones regulatorias. Como mínimo, los equipos de seguridad sanitaria deben resolver las vulnerabilidades de IDOR, auditar las configuraciones, mejorar la gobernanza de cambios e implementar el acceso con privilegios mínimos sin contraseña".
Nic Adams, cofundador y director ejecutivo de 0rcus, comparó el caso con el sonado incidente de Change Healthcare del año pasado, en el sentido de que la gran dependencia de un proveedor externo por parte de una organización médica aumenta el impacto potencial de una brecha de seguridad.
"Ambos incidentes ponen de relieve un problema sistémico en el sector sanitario, por el cual los proveedores externos son cada vez más blanco de ataques debido a su acceso a datos y sistemas críticos", afirmó Adams. La falta de medidas robustas y de supervisión operativa en las relaciones con estos proveedores exacerba el riesgo de perpetuación de dichas brechas.
El gran volumen de datos personales y sanitarios sensibles expuestos en la brecha de Serviceaide pone de relieve la necesidad crítica y continua de contar con medidas de ciberseguridad robustas en todo el sector sanitario, añadió Darren Guccione, cofundador y director ejecutivo de Keeper Security.
Determinar el verdadero impacto de una brecha de esta magnitud suele llevar meses o incluso años, ya que las organizaciones deben descubrir el alcance total de la exposición de datos, verificar la precisión de los informes de la brecha y adaptarse a los cambiantes requisitos regulatorios, afirmó Guccione. Los datos expuestos de Catholic Health siguen representando una amenaza significativa. Con la información personal, médica y financiera comprometida, el riesgo de robo de identidad, fraude médico y ataques de phishing dirigidos es alto. Si bien puede que no haya indicios inmediatos de uso indebido, los datos robados podrían salir a la luz en el futuro, prolongando los riesgos tanto para las personas como para las organizaciones.