Los ciberataques a hospitales y empresas de salud se han convertido en una constante en los últimos dos años.
Una de esas empresas afectadas es Apria Healthcare, que en 2019 sufrió un incidente por el que los piratas informáticos se infiltraron en sus sistemas y accedieron a información personal de salud (PHI) durante unos cuantos meses.
Fruto de esta infracción, los cibermalos pudieron obtener los nombres de los clientes, sus números de Seguro Social, así como su información personal, médica, de seguro de salud y financiera.
Apria recibió una alerta sobre el acceso no autorizado a sus sistemas el 1 de septiembre de 2021, lo cual llevó a la empresa -según indica- a tomar medidas de seguridad inmediatas y a una investigación. Esta reveló que la violación se había dado de manera esporádica desde el 5 de abril de 2019 al 10 de octubre de 2021.
Eso extiende el período donde los actores de amenazas pudieron campar anchas no a meses, sino a dos años y medio.
Lo que es más grave de todo es que las víctimas no recibieron ninguna notificación oficial de lo sucedido hasta 4 años después de la primera violación.
Ahora se ha conocido la dimensión de la infracción: afectó a casi 2 millones de pacientes.
Aseguran que los datos no se han usado
“No hay evidencia de fondos retirados, y Apria no tiene conocimiento del mal uso de la información personal relacionada con este incidente. Se confirmó que se accedió a una pequeña cantidad de correos electrónicos y archivos, pero no hay pruebas de que se hayan tomado datos de ningún sistema”, señala Apria en su comunicado.
La compañía también ha tratado de cubrise las espaldas asegurando que se toman muy en serio la protección de la información personal.
"Hemos implementado medidas de seguridad adicionales con la guía y recomendación de nuestros investigadores forenses para ayudar a prevenir que vuelva a ocurrir una infracción similar y para proteger aún más la privacidad de nuestros pacientes y empleados", concluyen.