Blue Shield de California ha revelado que las violaciones de datos críticas afectan a sus 4.7 millones de miembros, representando a la mayoría de sus casi 6 millones de clientes.
Los proveedores de seguros de salud han revelado que la información de salud protegida (PHI) se ha compartido incorrectamente con la plataforma de publicidad de Google durante casi tres años debido a la configuración errónea de Google Analytics en el sitio web de la compañía.
Esta violación de abril de 2021 a enero de 2024 fue uno de los mayores incidentes de datos de atención médica de 2025.
La compañía descubrió una violación de la privacidad el 11 de febrero de 2025. En ese caso, las revisiones internas identificarán Google Analytics configurados de manera inapropiada para compartir datos de miembros confidenciales con anuncios de Google, lo que permite que las campañas publicitarias dirigidas dirigidas a las personas afectadas.
“El 11 de febrero de 2025, Blue Shield descubrió que entre abril de 2021 y enero de 2024, es probable que Google Analytics contenga información de salud protegida para que se pueda compartir con Google Ads, un producto publicitario de Google”.
Exposición a los datos del escudo azul
Los datos potencialmente publicados incluyen:
Nombre del plan de seguro, tipo e identificador de número de grupo asignado Blue Shield para cuentas en línea para la ciudad, código postal, género, el tamaño de la familia Fecha de servicio de salud y el nombre del proveedor y la responsabilidad financiera “Encuentra el médico” Criterios de búsqueda y resultados (ubicación, plan, proveedor)
Blue Shield enfatizó que las violaciones no han comprometido el número de Seguro Social, el número de licencia de conducir, la información del banco y la tarjeta de crédito.
La compañía también dijo que “no hay malos actores involucrados” y que Google no ha compartido información protegida con otras partes.
El incidente plantea serias preocupaciones sobre el cumplimiento de HIPAA relacionados con la tecnología de seguimiento en línea.
Según las regulaciones de HIPAA, las agencias de salud deben implementar salvaguardas sólidas para PHI e implementar acuerdos seguros de asociación comercial (BAA) con los proveedores que procesan dichos datos.
Google afirma explícitamente que Google Analytics no cumple con HIPAA y no proporciona BAA, y utiliza PHI en páginas esencialmente riesgosas.
Los expertos en seguridad creen que tales violaciones se atribuyen a conceptos erróneos técnicos y una visibilidad insuficiente en las prácticas de recopilación de datos.
“Muchas compañías de atención médica no son conscientes de posibles problemas de privacidad de datos porque no saben exactamente qué herramientas de análisis están recopilando o cómo configurar Google Analytics correctamente”, dijo Ian Cohen, CEO de Lokker.
Blue Shield rompió la conexión entre Google Analytics y los anuncios de Google en enero de 2024 y lanzó una revisión exhaustiva de su sitio web y protocolos de seguridad.
La Compañía recomienda que los miembros afectados permanezcan atentos al monitorear los estados de cuenta y los informes de crédito para actividades sospechosas.
Esto marca el segundo incidente de TI importante de Blue Shield dentro de un año. En 2024, el grupo de ransomware BlackSuit robó datos de casi 1 millón de miembros del plan de salud después de un ataque al proveedor de soluciones de software de Blue Shield Connexure.
La violación ahora se reconoce como las violaciones de datos más importantes relacionadas con la salud de 2025, según la oficina de derechos civiles del Departamento de Salud de los Estados Unidos.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
