El pasado 5 de abril Kaiser Permanente, uno de los mayores proveedores sanitarios privados de EE.UU, sufrió una violación de datos mediante compromiso del correo electrónico (Business Email Compromise o BEC) que dejó expuestos los registros médicos de casi 70.000 pacientes.
Los atacantes lograron acceso a los emails de un empleado del Plan de Salud de la Fundación Kaiser que incluían información de salud protegida. Así se lo reveló la compañía a los afectados en una carta el pasado 3 de junio.
Parece que el atacante mantuvo el acceso no autorizado durante varias horas. Kaiser asegura que tras ello suspendió la actividad e inició una investigación para "determinar el alcance del incidente".
Kaiser no las tiene todas consigo y no está segura de si los cibermalos obtuvieron acceso a la información personal de los clientes a causa de la violación, aunque indica que "no se puede descartar por completo esa posibilidad".
En paralelo a la investigación de la compañía sanitaria, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE.UU también está llevando a cabo la suya propia. En su página web un listado eleva la cifra de afectados a 69.589 personas.
Más rapidez y seguridad al informar
Algunos expertos de ciberseguridad han criticado varias cosas de Kaiser. La primera de ellas es que no pueda determinar si han accedido a datos sensibles durante el incidente. También señalan que podrían haber actuado con mayor celeridad para notificar el problema a los potencialmente afectados, ya que han pasado casi tres meses.
Chris Clements, vicepresidente de arquitectura de soluciones de la empresa de ciberseguridad Cerberus Sentinel, cree que algunas organizaciones deberían tener controles de auditoría sólidas para este tipo de casos.
Además, pide mayor rapidez, ya que el desconocimiento del incidente puede hacer que los atacantes usen información robadas para campañas de ingeniería social, con la consiguiente sorpresa de los afectados.
La forma de acceso de estos actores de amenazas, una vez más a través del BEC, pone de manifiesto que el error humano es la peor plaga para la ciberseguridad. Un informe de Verizon ya sostenía esta idea, tras hallar que el 82% de las violaciones de seguridad del año pasado fueron causadas por lo que los investigadores denominan 'el elemento humano'.