La empresa sanitaria Scripps Health ha acordado el pago de 3,57 millones de dólares como compensación total a las víctimas de su ciberataque producido en 2021.
Así, esta compañía con sede en San Diego se compromete a indemnizar a los pacientes con al menos 100 dólares por víctima y cubrir algunos gastos adicionales.
Los reclamos ordinaros podrán obtener hasta 1.000 dólares si documentan las pérdidas de su bolsillo relacionadas con el ataque, como tarifas bancarias no reembolsadas, tarifas de tarjetas, etc y otros gastos relacionados con el robo de identidad o fraude.
En casos extraordinarios donde haya "pérdidas monetarias documentadas" las víctimas podrían reclamar hasta 7.500 dólares si ha habido cargos fraudulentos no reembolsados, robo de identidad médica, etc. Cada afectado tendrá que presentar un formulario de reclamo.
El acuerdo todavía debe ser aprobado por las autoridades pertinentes y, en concreto, por el tribuna federal de California, donde se presentó la demanda colectiva.
"Nos complace haber llegado a un acuerdo que creemos que es beneficioso para aquellos que pueden haber resultado afectados", ha señalado un portavoz de la compañía.
Un ciberataque que paralizó cuatro hospitales
La demanda colectiva llegó después de que Scripps sufriera una violación de datos vinculada a un ataque de ransomware. En este un tercero no autorizado accedió a su red en abril de 2021 para implementar malware, haciéndose con algunos documentos. El incidente fue hecho público el 1 de mayo de dicho ejercicio.
Scripps, que opera cuatro hospitales en el área de San Diego, tuvo que retrasar la atención de los pacientes y desviar a algunos que requerían tratamiento de emergencia a otras instalaciones.
El ataque también ocasionó que los servicios de Scripps Health se vieran interrumpidos durante semanas, ya que la compañía desconectó sus registros de salud electrónicos y el portal de pacientes.
Así, los médicos se vieron obligados a pasarse al papel y a otros procesos manuales para poder atender a los enfermos. En este intervalo muchas citas y operaciones fueron pospuestas.
Los actores de amenazas se hicieron con información médica sin cifrar, como nombres, direcciones, fechas de nacimiento, números de seguros sociales, números de carnet de conducir, información de seguros de salud y números de cuentas de pacientes de más de 147.000 personas.
Además, los cibermalos también obtuvieron datos de información clínica, como el nombre de los médicos, las fechas del servicio y la información del tratamiento.