Las compañías de salud y del ámbito sanitario son un objetivo recurrente para los ciberdelincuentes. Prácticamente todas las semanas conocemos que se ha producido un ataque de ransomware a alguna de estas organizaciones.
Managed Care of North America (MCNA) Dental, una de las mayores aseguradoras de salud denta de EE.UU., ha sido víctima de uno de estos incidentes, comprometiendo la información de casi 9 millones de usuarios.
Con esta cifra, estaríamos hablando de la mayor violación de datos en el ámbito de la salud ocurrida en lo que va de 2023. Hasta la fecha había sido la de PharMerica, con los datos de 6 millones de pacientes expuestos.
Esta vez entre los datos sustraídos se incluirían nombres de pacientes, direcciones, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, números de Seguro Social y licencias de conducir, así como otros números de identificación emitidos por el gobierno.
También se habrían comprometido datos del seguro de salud de los pacientes, incluyendo la información del plan, junto con datos de facturas y reclamos de seguros.
Además, preocupantemente, varios de estos datos correspondían a los padres o tutores de pacientes, lo que lleva a pensar según la propia MCNA Dental que los cibermalos también accedieron a los datos personales de niños.
Infracción ocurrida en marzo
Hace unos días la empresa publicó un comunicado en el que advertían de que habían detectado el pasado 6 de marzo cierta actividad en su sistema informático "que ocurrió sin nuestro permiso".
Posteriormente descubrieron que un actor de amenazas habría visto y tomado copias de cierta información en sus equipos entre los pasados 26 de febrero y 7 de marzo.
MCNA Dental asegura que llevó a cabo una investigación para determinar lo sucedido y ver qué datos estaban afectados, concluyendo la misma el pasado 6 de mayo.
El famoso grupo de ransomware LockBit se ha atribuido el ataque, listando a la compañía en su página de filtraciones de la dark web y asegurando que han publicado todos los archivos extraídos del incidente. Parece que la firma se negó a pagar el rescate exigido por la pandilla, quien le pedía 10 millones de dólares.