Los piratas informáticos robaron fotografías de desnudos de alrededor de 600 hombres y mujeres que recibían tratamiento por cáncer en un hospital de Pensilvania, el último de un número rápidamente creciente de ciberataques contra los sistemas de salud.
Los ataques de ransomware contra hospitales, en los que los piratas informáticos retienen información delicada de los pacientes como rehén hasta que la entidad les entregue una suma considerable de dinero, son cada vez más comunes.
En Estados Unidos, los ataques contra el sector sanitario aumentaron un 128 por ciento en un solo año, con 258 víctimas en 2023 frente a 113 en 2022.
El último hospital en ser víctima de ransomware fue Lehigh Valley Health Network, que recientemente resolvió un caso por 65 millones de dólares que se le impusieron por supuestamente no proteger información altamente confidencial de sus pacientes, incluidas fotos de pacientes desnudos.
La demandante principal en el caso, a la que se hace referencia únicamente como Jane Doe, es una mujer de unos 50 años cuyas fotos desnudas tomadas durante sus tratamientos de radiación llegaron a la red oscura, lo que le provocó una mezcla de rabia, ira, ansiedad y miedo.
La red de hospitales de Lehigh Valley fue víctima de un ataque de ransomware que provocó que la información privada de 135.000 pacientes llegara a la red oscura
Su navegador no soporta iframes.
El grupo de ransomware BlackCat se atribuyó el ataque en febrero de 2023, pero su alcance fue limitado. El hospital afirmó que el alcance del ataque se detuvo en un consultorio dentro del sistema Lehigh Valley, una instalación en el condado de Lackawanna.
Pero se expusieron datos privados de aproximadamente 134.000 pacientes, incluidos diagnósticos, historial médico y fotografías de cientos de hombres y mujeres desnudos.
Jane Doe no tenía idea de que Lehigh Valley había almacenado fotos suyas desnudas en su sistema informático. Se enteró del hackeo por las noticias y llamó al hospital para asegurarse de que su información estuviera segura.
En ese momento, ella no sabía que BlackCat había tomado sus fotos y las de cientos de otras personas y las había publicado en Internet. La demanda no especifica por qué se tomaron fotos de los pacientes desnudos.
Además de las fotografías, se publicaron datos personales de los pacientes, números de registros médicos, información sobre tratamientos y diagnósticos e información del seguro médico.
Algunos también tenían direcciones de correo electrónico, información bancaria y números de seguridad social divulgados.
El hecho de que esta información privada de Jane Doe probablemente se utilizará en el futuro para robo de identidad y fraude, según la demanda, le ha provocado experimentar «sentimientos de rabia, ira, ansiedad, alteración del sueño, estrés y miedo».
Un portavoz de Lehigh Valley Health dijo: «La privacidad de los pacientes, los médicos y el personal está entre nuestras principales prioridades y continuamos mejorando nuestras defensas para prevenir incidentes en el futuro».
BlackCat, o ALPHV, ha afirmado estar detrás de varios otros ataques de alto perfil a los sistemas de salud.
En febrero de 2023, la empresa de piratería atacó la división tecnológica de UnitedHealth Group, Change Healthcare, que procesa las reclamaciones de seguros. El ciberataque paralizó hospitales y pequeñas prácticas de todo el país, ya que la interrupción del servicio impidió que los proveedores pudieran pagar las facturas de los pacientes.
En mayo de 2024, Ascension, un importante proveedor de atención médica de EE. UU., fue víctima de un importante ataque de ransomware vinculado al grupo de ciberdelincuencia Black Basta. Se cree que el ataque fue causado por un archivo malicioso enviado en un correo electrónico de phishing en el que hizo clic un empleado.
Los piratas informáticos pudieron acceder a una amplia gama de servidores privados que contenían información sanitaria privada y protegida. Esto interrumpió la capacidad de los trabajadores para acceder a los registros de los pacientes, provocó demoras en los procedimientos médicos y desvió ambulancias.
En Estados Unidos, los ataques contra el sector sanitario aumentaron un 128 por ciento en un solo año, con 258 víctimas en 2023 frente a 113 en 2022.
Los ataques de ransomware causan estragos en los sistemas de salud a los que apuntan, impidiendo que el personal acceda a sistemas críticos de registros médicos electrónicos, bloqueando herramientas de programación e interfiriendo con dispositivos médicos.
Es posible que no se disponga de datos críticos, lo que da como resultado un diagnóstico o tratamiento más lento y potencialmente causa un aumento del 35 al 41 por ciento en las tasas de mortalidad hospitalaria durante el ataque.
Las filtraciones de datos en los hospitales son más comunes que nunca. Los ataques de ransomware dirigidos a hospitales se duplicaron entre 2016 y 2021. Se han vuelto cada vez más comunes desde 2012, según la vigilancia federal.
Los datos de salud son un objetivo principal para los piratas informáticos porque contienen un tesoro de información personal, desde el historial médico hasta la información de seguridad social y seguros, además de información de tarjetas de crédito.
Según la demanda contra Lehigh Valley, el sistema hospitalario no pagó el rescate de 5 millones de dólares para recuperar las fotografías y otra información confidencial.
Generalmente se aconseja a las entidades de atención médica no pagar el rescate que se les impone porque esto podría alentar más ataques, ya que muestra a los cibercriminales que pueden obtener el pago con suficiente presión.
El pago de la tarifa no garantiza que las víctimas recuperen el acceso a sus controles, ni hay garantía de que la información no se haga pública.
