CNN—
Un sistema de salud de Pensilvania acordó este mes pagar 65 millones de dólares a las víctimas de un ataque de ransomware de febrero de 2023 después de que los piratas informáticos publicaran en línea fotografías de pacientes con cáncer desnudos, según los abogados de las víctimas.
Según el bufete de abogados de los demandantes, Saltz Mongeluzzi Bendesky, el acuerdo es el mayor de su tipo para un solo paciente que fue víctima de un ciberataque.
El acuerdo, que está pendiente de aprobación judicial, sirve como advertencia a otras importantes organizaciones de atención médica de EE. UU. de que los registros de pacientes más confidenciales que poseen son de enorme valor tanto para los piratas informáticos como para los propios pacientes cibernéticos, dijeron a CNN. El ochenta por ciento del acuerdo de 65 millones de dólares se reservará para las víctimas cuyas fotos de desnudos se publicaron en línea.
El acuerdo “cambia el ecosistema legal, de seguros y de confrontación”, dijo Carter Groom, director ejecutivo de la firma de ciberseguridad First Health Advisory. “Si proteger los datos de salud es primordial, las imágenes y fotografías requerirán un nivel de protección más compartimentado”.
Un círculo vicioso potencialmente continuo a medida que los piratas informáticos buscan cada vez más los datos más sensibles de los pacientes para robarlos y los proveedores de atención médica buscan acuerdos extrajudiciales para evitar “un daño continuo a la reputación”. Eso podría suceder, dijo Groome a CNN.
El año pasado, un grupo de delitos cibernéticos robó fotografías desnudas de pacientes con cáncer de Lehigh Valley Health Network, un grupo de 15 hospitales y centros médicos en el este de Pensilvania, según la denuncia. Los piratas informáticos exigieron el pago de un rescate, pero cuando Lehi se negó a pagar, filtraron las fotos en línea.
La demanda, presentada en nombre de una mujer de Pensilvania y otras personas cuyas fotos de desnudos fueron publicadas en línea, responsabiliza a Lehigh Valley Health Network por la “vergüenza y humillación” que causó a los demandantes. Afirman que tienen que soportar la carga.
“La privacidad de nuestros pacientes, médicos y personal es una de nuestras principales prioridades, y continuamos fortaleciendo nuestras defensas para evitar incidentes futuros”, dijo Lehigh Valley Health Network en un comunicado a CNN el lunes.
El ataque de ransomware se “limitó a una red que respaldaba el consultorio de un médico en el condado de Lackawanna”, continuó la declaración de la Universidad de Lehigh. “Los miembros del grupo demandante recibirán notificaciones escritas separadas que contendrán información adicional sobre el acuerdo”.
Los ataques de ransomware han estado perturbando los hospitales y clínicas estadounidenses durante años, dañando la salud de los pacientes e infligiendo enormes daños a la industria de la salud.
En febrero, un ataque de ransomware a una importante empresa de facturación de seguros médicos costó a los proveedores de atención médica miles de millones de dólares y llevó a algunas clínicas médicas al borde de la bancarrota.
Otro ataque de ransomware en mayo en una de las cadenas de hospitales más grandes de Estados Unidos obligó a las enfermeras a ingresar manualmente la información de las recetas, poniendo en riesgo la vida de los pacientes, dijeron a CNN varias enfermeras del hospital afectado.
Para muchos pacientes y trabajadores de la salud, las defensas de la industria de la salud están llegando con demasiada lentitud. Los funcionarios de la administración Biden han prometido exigir ciberseguridad para los hospitales estadounidenses, lo que podría fortalecer gradualmente sus defensas.
Las demandas pueden aumentar significativamente la presión sobre los proveedores de atención médica para proteger los datos de los pacientes, pero algunos expertos dicen que eso no es necesariamente para mejor.
“Otras organizaciones analizarán este caso y dirán que si pagamos 5 o 10 millones de dólares de rescate, es posible que no tengamos que afrontar una demanda colectiva”, dijo Groom.
Muchas instituciones médicas carecen de seguro médico y podrían enfrentarse a la quiebra si sufrieran un ciberataque como el de la Universidad de Lehigh, dijo el vicepresidente de Pondurance, una empresa de seguridad que ha respondido a numerosos ciberataques dirigidos a instituciones médicas. Dijo Henderson.
Henderson dijo que un ataque de ransomware a gran escala contra un proveedor de atención médica tiene muchos costos, desde la reconstrucción de sistemas informáticos hasta la contratación de un abogado, además de posibles demandas.
https://www.cnn.com/2024/09/23/business/pennsylvania-health-system-settlement-hackers-nude-photos-cancer-patients/index.html