ALLENTOWN, Pensilvania – Un sistema de salud con sede en Pensilvania acuerda pagar 65 millones de dólares a las víctimas de un ataque de ransomware de febrero de 2023 cuyas fotos de desnudos de su tratamiento se publicaron en línea.
Los datos de aproximadamente 135.000 pacientes y empleados se vieron comprometidos cuando el grupo de ransomware Black Cat, con sede en Rusia, pirateó el consultorio de un médico en Lehigh Valley Health Network. Se accedió a más de 600 registros médicos personales de estos pacientes, incluidas imágenes clínicamente relevantes de sus tratamientos oncológicos.
Para obligar a LVHN a pagar un rescate de 5 millones de dólares, Black Cat comenzó a publicar los datos robados en el sitio filtrado. Los documentos incluían capturas de pantalla de los certificados médicos de los pacientes e imágenes de tres pacientes con cáncer de mama sin camisa. En total, se cargaron aproximadamente 132 gigabytes de información e imágenes en la web oscura, informó la KFOR.
Artículo relacionado: 2.000 hospitales de acceso crítico reciben servicios gratuitos de ciberseguridad
Jane Doe, una de las pacientes cuyas fotos de desnudos se filtraron, presentó una demanda contra LVHN, alegando que la empresa no cumplió con su deber de proteger la información confidencial de los pacientes. El paciente acusó a LVHN de anteponer sus propias “consideraciones financieras” a los “mejores intereses de los pacientes” y pidió que se presentara una demanda colectiva en nombre de todos aquellos cuyos datos se vieron comprometidos.
El acuerdo, que debe ser aprobado por un juez, haría que cada víctima pagara entre 50.000 y 70.000 dólares. La víctima cuya foto fue publicada en línea recibirá el 80% del acuerdo.
Carter Groom, director ejecutivo de la firma de ciberseguridad First Health Advisory, dijo a CNN que el acuerdo “cambia el ecosistema legal, de seguros y de confrontación”.
“Por supuesto, si los datos de salud deben protegerse como información sensible, las imágenes y fotografías requieren un nivel de protección más compartimentado”, continuó.
——El artículo continúa a continuación——
Los ciberataques en el sector médico aumentan un 128%
Black Cat ha ganado notoriedad por sus ciberataques a campus universitarios e instituciones médicas. El grupo también afirma estar detrás de otro ataque de alto perfil contra la empresa de facturación de seguros médicos Change Healthcare en febrero de 2023. Según el Daily Mail, el ciberataque paralizó hospitales y pequeñas clínicas en todo Estados Unidos, ya que los proveedores de atención médica no pudieron pagar las facturas de sus pacientes.
Según el Informe sobre delitos en Internet del FBI publicado en junio, los ciberataques contra el sector sanitario aumentaron un 128% en un año, hasta 258 en 2023, frente a 113 en 2022.
El FBI sostiene que las organizaciones no deberían pagar rescates porque no hay garantía de que sus datos sean devueltos y esto puede generar más actividad de ransomware. Pero a raíz del incidente de LVHN, los expertos en ciberseguridad dicen que los objetivos del ransomware se niegan cada vez más a pagar, y el último ataque puede indicar un cambio en la desesperación de los atacantes.
Artículo relacionado: Heritage Valley Health System paga una multa de 950.000 dólares por vulneración de ransomware
“Otras organizaciones analizarán este caso y dirán que si pagamos 5 o 10 millones de dólares de rescate, es posible que no tengamos que afrontar una demanda colectiva”, dijo Groom.
Según el Informe de costos de vulneración de datos de seguridad de IBM de 2023, el costo promedio de una vulneración de datos en los Estados Unidos es de 9,48 millones de dólares. El informe también concluye que, por decimotercer año consecutivo, las violaciones de datos sanitarios son las más costosas, con un coste medio de 10,93 millones de dólares, un aumento del 53,3% en comparación con los tres años anteriores. En julio de este año, la Casa Blanca anunció una asociación con Microsoft y Google para brindar servicios gratuitos de ciberseguridad a aproximadamente 2000 hospitales locales de acceso agudo.
LHVN defendió su decisión de no pagar a los piratas informáticos, pero dijo que seguiría fortaleciendo sus defensas de ciberseguridad. El grupo médico más grande del estado supervisa 13 hospitales, 28 centros médicos, docenas de otras clínicas, farmacias, centros de rehabilitación, servicios de laboratorio y diagnóstico por imágenes, y más.
Lehigh Valley Health Network to Pay $65 Million After Hackers Leaked Nude Photos of Cancer Patients