La compañía médica Forefront Dermatology ha llegado a un acuerdo y se ha comprometido al pago de 3,75 millones de euros que irán destinados a pacientes.
Esta cantidad se abonará en compensación por la filtración sufrida el año pasado, la cual expuso los datos de 2,41 millones de clientes y trabajadores.
Estos afirmaron ser perjudicados en forma de "pérdida del beneficio de su trato, gastos de bolsillo, pérdida de privacidad y pérdida del valor de su tiempo razonablemente incurrido para remediar o mitigar los efectos de el ataque".
Además, Forefront también ha acordado mantener durante un período no inferior a 2 años una serie de medidas de seguridad de datos para sus 195 centros de atención repartidos por 22 estados de EE.UU.
La firma fue víctima del grupo de ciberdelincuentes Cuba en mayo y junio de 2021. Estos accedieron a sus sistemas y se hicieron con una ingente cantidad de información sensible.
La demanda colectiva -que en principio fueron tres demandas por separado- se dio por un aviso de incumplimiento del proveedor en junio del año pasado, el cual informó que había detectado y resuelto un incidente de seguridad el 4 de junio.
Sin embargo, antes de su informe los piratas habían publicado datos que supuestamente habrían sido extraídos del hackeo, con bastante antelación a ponerlo en conocimiento de los pacientes. De hecho los cibermalos compartieron la publicación en la dark web, afirmando que el primer acceso no autorizado a la red de proveedores de la empresa sucedió el 28 de mayo.
Tratando de escurrir el bulto
Todo apunta a que Forefront Dermatology mintió o quiso minimizar el suceso, diciendo que solo se había tratado de un acceso no autorizado a ciertos archivos. En sus declaraciones públicas también redujeron el número de infracciones a solo miles.
Sin embargo, la realidad es que los actores de amenazas pudieron hacerse con detalles de contacto, fechas de nacimiento, un gran abanico de identificadores personales, fechas de servicio, datos médicos e información de tratamiento clínico. En la dark web incluso se comentaba que los números de la Seguridad Social también se habrían filtrado.
Los demandantes señalaban que Forefront actuó de manera negligente, permitiendo que "ocurriera la violación en primer lugar". Además, la demanda se centraba en la discrepancias respecto a los datos vulnerados, puesto que los paciente no sabían "precisamente a qué tipo específico de información se accedió”.
La acusación también señalaba que la compañía médica estaba al tanto de la condición vulnerable de su red y no monitorizaba adecuadamente sus sistemas, lo cual habría evitado la intrusión o revelado el ataque antes.
Por último, la demanda alegaba que Forefront no cumplió con los estándares de la industria en cuanto a ciberseguridad y las pautas de la Comisión Federal de Comercio sobre la implementación de prácticas de seguridad razonables.
Sea como fuere, el incidente habría supuesto la quinta mayor violación de datos de atención médica del pasado ejercicio.