Un sistema sanitario deberá pagar 65 millones de dólares tras la filtración de fotos de pacientes desnudos por piratas informáticos

En marzo de 2023, una mujer de Pensilvania recibió una llamada telefónica de un ejecutivo del sistema sanitario que la dejó boquiabierta: unos piratas informáticos habían conseguido fotos de su cuerpo desnudo mientras recibía radioterapia y las habían colgado en un oscuro rincón de Internet.

Lehigh Valley Health Network se negó a pagar un rescate “superior” a 5 millones de dólares para recuperar las fotos y otros datos de pacientes robados, pero no pudo eludir los daños financieros derivados de la filtración.

La mujer no identificada, de unos 50 años y conocida como Jane Doe, se convirtió en la principal demandante en una demanda colectiva contra Lehigh por no salvaguardar información muy delicada de los pacientes, incluidas fotos de desnudos de cientos de pacientes de cáncer. El 12 de septiembre, un bufete de abogados anunció que Lehigh había acordado pagar 65 millones de dólares para resolver el caso.

Mientras los piratas informáticos penetran en las empresas sanitarias estadounidenses con alarmante regularidad, este episodio revela cómo los ciberdelincuentes se aprovechan de datos especialmente sensibles, con consecuencias humanas y económicas devastadoras.

Las filtraciones de datos que ponen en peligro la información sanitaria de cientos de estadounidenses se producen casi a diario, según un estudio del Washington Post de casos recopilados por el Departamento de Salud y Servicios Humanos de Estados Unidos que se remontan a 2022. El Centro de Denuncias de Delitos en Internet del FBI recibió el año pasado más denuncias de ataques de ransomware contra objetivos del sector sanitario que cualquier otro de los 16 sectores que rastrea.

El caso de Lehigh Valley también pone de relieve los aprietos legales de las organizaciones sanitarias, cada vez más atacadas por piratas informáticos, lo que las hace vulnerables tanto a los ciberdelincuentes como a las posteriores demandas interpuestas por pacientes cuyas vidas se ven alteradas por una filtración.

Este es especialmente el caso de los sistemas sanitarios que poseen fotos confidenciales de pacientes tomadas por razones clínicas. Según la Sociedad Americana de Oncología Radioterápica, para administrar radioterapia a los pacientes se suelen utilizar imágenes fotográficas y de rayos X para elaborar un plan de tratamiento.

“El tipo de datos expuestos cambia las reglas del juego”, afirma Carter Groome, Consejero Delegado de First Health Advisory, una empresa especializada en riesgos digitales. “Se trata de un peligro mucho más tangible y directo para las personas que confiaban en la organización”, añadió.

Según el bufete de abogados BakerHostetler, la divulgación de las filtraciones de datos está dando lugar a demandas con mayor frecuencia, ya que más de 58 incidentes divulgados el año pasado dieron lugar a una o más demandas, lo que supone un aumento aproximado del 38% con respecto al año anterior. El recuento de BakerHostetler no se limita a la atención sanitaria.

Algunos expertos afirman que las organizaciones sanitarias han avanzado mucho en el refuerzo de sus ciberdefensas, pero siguen siendo vulnerables en gran parte debido a su complejidad, con redes informáticas que conectan a médicos, aseguradoras, farmacias y todo tipo de proveedores de equipos y servicios.

Un portavoz de Lehigh Valley Health dijo que el ciberataque se limitó a una red que daba soporte a una única consulta médica en el condado de Lackawanna, en el noreste de Pensilvania, y confirmó que no pagó ningún rescate. “La privacidad de los pacientes, los médicos y el personal es una de nuestras principales prioridades, y seguimos mejorando nuestras defensas para prevenir incidentes en el futuro”, dijo.

No está claro con qué frecuencia se exponen fotos íntimas de pacientes en los hackeos. El año pasado, un cirujano plástico de Beverly Hills denunció un ciberataque que incluía “imágenes tomadas en relación con los servicios prestados en nuestra consulta”, lo que desencadenó un litigio. Una segunda clínica de cirugía plástica también reveló un ataque por las mismas fechas.

Meredith Schnur, responsable de ciberseguridad de Marsh McLennan, afirma que su equipo ha visto a piratas informáticos hacerse con fotos de pacientes, pero no necesariamente desnudos. El caso de Lehigh Valley es “una especie de anomalía”, dijo. “Es un acuerdo bastante grande”.

Los piratas informáticos persiguen cada vez más los engranajes críticos de las cadenas de suministro, como la filial Change Healthcare de UnitedHealth Group, que encamina las reclamaciones de las farmacias y los proveedores de atención sanitaria a las aseguradoras y facilita el pago.

El pirateo de Change en febrero paralizó consultas en todo el país y expuso la información sanitaria de una “proporción sustancial de personas en Estados Unidos”, según ha declarado la empresa. UnitedHealth ha gastado 1.400 millones de dólares en responder al ataque durante el primer semestre del año, según declaró el mes pasado en una declaración de valores.

La banda de ransomware que se cree que está detrás del pirateo de Change, ALPHV, es también la misma acusada de piratear Lehigh Valley. El FBI no apoya el pago de rescates en este tipo de ataques, ya que no hay garantías de que los piratas informáticos devuelvan los datos y el pago puede fomentar más ataques.

Pero el CEO de UnitedHealth, que obtuvo casi 200 mil millones de dólares de ingresos en la primera mitad de 2024, dijo que dirigió a la compañía a pagar el rescate de 22 millones de dólares, diciendo al Congreso que era “una de las decisiones más difíciles que he tenido que hacer”.

Lehigh Valley Health, con sede en Allentown, Pensilvania, no pagó el rescate. Tras descubrir la brecha en febrero de 2023, un ejecutivo del sistema sanitario llamó a los pacientes para informarles de que los piratas informáticos habían publicado su información personal -incluidas fotos de desnudos- en la dark web, que consiste en sitios web ocultos a los que no se puede acceder a través de motores de búsqueda convencionales como Google.

La demanda colectiva relata cómo el ejecutivo ofreció una disculpa a la mujer de unos 50 años y, “con una risita, dos años de monitorización del crédito”. La paciente de cáncer no tenía ni idea de que el sistema sanitario había almacenado fotos suyas desnuda en su red informática, según la demanda, y se encontraba en un estado de “total incredulidad”.

“Las imágenes son realmente difíciles de ver”, dijo Patrick Howard, abogado que representa a los demandantes. Su equipo jurídico contrató a un experto en ciberseguridad que localizó las imágenes que los piratas informáticos habían publicado en la web oscura, lo que les permitió “establecer la información de cada persona que estaba realmente en línea”.

El acuerdo propuesto, que aún requiere la aprobación de un juez, proporcionaría un pago a casi 135.000 pacientes y empleados del sistema sanitario afectados por la filtración. Pero el 80% de los 65 millones de dólares se destina a aquellos cuyas fotos de desnudos se publicaron en la red oscura, según el acuerdo. Howard dijo que esa categoría incluye a unos 600 hombres y mujeres, que recibirán más de 75.000 dólares cada uno. Como demandante principal, Jane Doe podría recibir 125.000 dólares.

(c) 2024, The Washington Post