Lehigh Valley Health Network, un sistema de atención médica de Pensilvania, acordó pagar 65 millones de dólares a las víctimas de un ataque de ransomware en febrero de 2023. Los piratas informáticos habían expuesto información médica confidencial, incluidas fotos de pacientes con cáncer desnudos, lo que provocó una importante angustia emocional y violaciones de la privacidad.
Según Saltz Mongeluzzi Bendesky, el bufete de abogados que representa a las víctimas, el acuerdo de 65 millones de dólares es la mayor compensación por paciente para aquellos afectados por un ciberataque.
Ciberataques a la atención sanitaria: una amenaza creciente
Expertos en ciberseguridad en el ámbito sanitario dijeron a CNN que el acuerdo de 65 millones de dólares, pendiente de aprobación judicial, es una dura advertencia para otros grandes proveedores de servicios sanitarios de Estados Unidos. El incidente pone de relieve el inmenso valor que tienen los datos confidenciales de los pacientes tanto para los piratas informáticos como para los pacientes.
El ochenta por ciento del acuerdo está destinado a las víctimas cuyas fotos de desnudos se filtraron en línea. Carter Groome, director ejecutivo de la empresa de ciberseguridad First Health Advisory, dijo que el acuerdo “cambia el ecosistema legal, de seguros y de confrontación”.
“Si se protegen los datos sanitarios como si fueran la joya de la corona, como debería ser, las imágenes o las fotografías van a necesitar otro nivel de protección compartimentada”, añadió Groome. Según Groome, se trata de un ciclo en el que los piratas informáticos atacan activamente los datos más sensibles de los pacientes y los proveedores de atención sanitaria se ven incentivados a resolver las reclamaciones fuera de los tribunales para mitigar el daño continuo a la reputación.
Una demanda alega que una banda de cibercriminales robó fotos de desnudos de pacientes con cáncer de Lehigh Valley Health Network, un sistema de atención médica con 15 hospitales y centros de salud en el este de Pensilvania. El año pasado, los piratas informáticos exigieron el pago de un rescate y, cuando Lehigh se negó a hacerlo, filtraron la información médica confidencial en línea.
La demanda se ha presentado en nombre de una mujer de Pensilvania y otras personas cuyas fotos desnudas se divulgaron públicamente en Internet. Los demandantes sostienen que Lehigh Valley Health Network debería rendir cuentas por la vergüenza y la humillación significativas que les causaron.
Ataque de ransomware a la red de salud de Lehigh Valley
“La privacidad de los pacientes, los médicos y el personal está entre nuestras principales prioridades y continuamos mejorando nuestras defensas para prevenir incidentes en el futuro”, dijo Lehigh Valley Health Network en una declaración a CNN el lunes.
En febrero, un ataque de ransomware afectó a una importante empresa de facturación de seguros de salud, lo que provocó que se retuvieran miles de millones de dólares de los proveedores de atención médica y empujó a algunas clínicas al borde del colapso financiero.
Varias enfermeras de los hospitales afectados dijeron que un ataque de ransomware a una de las cadenas de hospitales más grandes de Estados Unidos en mayo comprometió la seguridad de los pacientes. El ataque obligó a las enfermeras a ingresar la información de las recetas manualmente.
Un informe de 2023 reveló que los cibercriminales seleccionan a sus víctimas de manera oportunista en lugar de apuntar a personas específicas. A pesar de la creciente amenaza de los ciberataques, el sector de la salud ha tardado en reforzar sus defensas, según muchos pacientes y profesionales de la salud.
En respuesta, los funcionarios de la administración Biden se han comprometido a implementar requisitos obligatorios de ciberseguridad para los hospitales estadounidenses, lo que podría mejorar gradualmente sus defensas. Algunos expertos creen que los litigios pueden generar una presión significativa sobre las organizaciones de atención médica para proteger los datos de los pacientes, pero no siempre de manera positiva.
“Otras organizaciones analizarán este caso y dirán: bueno, tal vez si pago 5 o 10 millones de dólares de rescate, tal vez no tenga que enfrentar una demanda colectiva”, dijo Groome.
Max Henderson, vicepresidente adjunto de la empresa de seguridad Pondurance con amplia experiencia en la respuesta a ciberataques centrados en la atención médica, advierte que muchas organizaciones de atención médica están subaseguradas y podrían enfrentar la quiebra si experimentaran un ataque de ransomware similar al que tuvo como objetivo a Lehigh Valley Health Network.
Henderson señala que un ataque de ransomware a gran escala contra un proveedor de atención médica puede generar costos significativos más allá de posibles demandas, incluida la reconstrucción de sistemas informáticos y la contratación de asesores legales.
Leave a Reply