Gestión de fraudes y delitos cibernéticos, atención médica, sector específico El grupo RansomHub afirma que comenzó a filtrar 100 gigabytes de información robada Marianne Kolbasuk McGee (HealthInfoSec) • 8 de julio de 2024 Imagen: Departamento de Salud de Florida El Departamento de Salud de Florida está lidiando con un ciberataque que implica el robo de información personal y de salud confidencial. La banda de cibercriminales RansomHub afirma que comenzó a publicar 100 gigabytes de datos robados en el hackeo, que es el último de una serie de al menos una docena de importantes violaciones de datos de salud en lo que va del año que involucran a departamentos de salud pública. Ver también: Seminario web | Todo lo que puede hacer para luchar contra la ingeniería social y el phishing RansomHub amenazó con comenzar a publicar los datos robados del Departamento de Salud de Florida a menos que el estado pagara un rescate antes del viernes pasado, pero es ilegal que cualquier agencia estatal del gobierno de Florida pague a extorsionadores, según un informe del sitio de medios local 4NewsJax. El estado confirmó que el incidente afectó al sistema de estadísticas vitales del Departamento de Salud utilizado para emitir certificados de nacimiento y defunción, pero se negó a proporcionar más detalles, dijo 4NewsJax. El Miami Herald informó que el incidente interrumpió las oficinas de recaudación de impuestos y las funerarias del estado, que rutinariamente tienen que acceder a ese sistema. El Departamento de Salud de Florida no respondió de inmediato a las múltiples solicitudes de comentarios de Information Security Media Group. Según informes de StateScoop, RansomHub, que se ha atribuido la responsabilidad de varios otros esquemas recientes de extorsión de datos, incluidos los ataques a Christie’s y Change Healthcare, comenzó a publicar los datos robados del Departamento de Salud de Florida el 5 de julio, después de que el estado se negara a pagar a la banda. Otros incidentes El incidente de piratería informática del Departamento de Salud de Florida es el último de muchos ataques recientes y otras violaciones importantes de datos de salud que involucran a los departamentos de salud pública. «Los departamentos de salud estatales y locales tienen grandes cantidades de información médica y personal confidencial, lo que los convierte en objetivos lucrativos para los piratas informáticos que buscan datos que puedan monetizar», dijo Jon Moore, director de riesgos de la firma de privacidad y seguridad Clearwater. “Además, estos departamentos suelen operar con recursos de ciberseguridad limitados, lo que puede hacerlos más vulnerables a los ataques”. Los departamentos de salud pública enfrentan una serie de desafíos internos y externos que, combinados, los convierten en un objetivo atractivo para los cibercriminales, dijo Tom Walsh, presidente de la firma de consultoría y privacidad tw-Security. “Los líderes de los gobiernos estatales, de condado o de ciudad son funcionarios electos. Con presupuestos limitados, los líderes –los funcionarios electos– querrán financiar proyectos que brinden el beneficio más tangible a su electorado”, dijo Walsh. “La salud pública es un servicio necesario, pero no tiene el mismo atractivo para el público que construir un nuevo parque. Las necesidades del funcionario electo pueden superar la necesidad de una mejor ciberseguridad. La financiación podría canalizarse desde la seguridad hacia algún proyecto que podría mejorar las posibilidades de que alguien sea reelegido”. Mientras tanto, los gobiernos estatales, de condado y de ciudad a menudo luchan para competir por personal de TI talentoso, y mucho menos por la experiencia en ciberseguridad, porque generalmente pagan menos que las grandes corporaciones, dijo Walsh. “En las zonas rurales y en los municipios más pequeños, los funcionarios electos probablemente no tengan el mismo nivel de conocimiento que un burócrata de carrera que trabaje en un departamento de salud. Por lo tanto, es posible que no comprendan del todo las consecuencias que podrían derivarse de la falta de financiación de TI, la ciberseguridad o el departamento de salud”. Los departamentos de salud pública comparten datos importantes con otros socios de confianza, como hospitales, clínicas y laboratorios, dijo Walsh. “Si un atacante puede comprometer con éxito un departamento de salud, esto podría crear nuevas oportunidades para ampliar su base de ataque, sabiendo que otras entidades tendrán un cierto nivel de confianza en cualquier intercambio que provenga del departamento de salud”. Incluso cuando los gobiernos estatales o locales tienen políticas estrictas contra el pago de rescates, los piratas informáticos pueden no estar al tanto de estas políticas o de la determinación del gobierno de cumplirlas, dijo Moore. “Los piratas informáticos a menudo atacan a estas entidades a pesar de las políticas de no pago de rescates porque incluso las demandas de rescate infructuosas pueden interrumpir las operaciones, causando daños significativos y potencialmente generando ganancias financieras a través de medios secundarios, como la venta de datos robados en la red oscura o incluso extorsionando personalmente a las personas cuya información fue robada”, dijo Moore. Hasta el lunes, el sitio web de la herramienta de notificación de infracciones de HIPAA del Departamento de Salud y Servicios Humanos de EE. UU. muestra al menos una docena de otras infracciones importantes de datos de salud que afectaron a casi 444.000 personas, informadas hasta ahora en 2024 por los departamentos de salud pública estatales y locales. La infracción más grande de este tipo, un incidente de piratería que afectó a casi 253.000 personas, fue informada en abril por los Departamentos de Servicios de Salud y Salud Pública del Condado de Los Ángeles. En total, el sitio web de la OCR del HHS muestra 190 infracciones importantes, incluidos 64 incidentes de piratería, informadas por los departamentos de salud pública desde septiembre de 2009. Hasta la fecha, el Departamento de Política y Financiamiento de la Atención Médica de Colorado informó la mayor infracción de este tipo en 2023, un incidente de piratería que afectó a casi 4,1 millones de personas. Esa infracción involucró el ataque MOVEit del grupo de ciberdelincuencia Clop (ver: Robo de datos a través de MOVEit: 45 millones más de personas afectadas). “Los departamentos de salud locales y públicos deberían priorizar la implementación de controles básicos sólidos”, que incluyan capacitación integral en seguridad para el personal, actualizaciones periódicas y parches de sistemas, implementación de autenticación multifactor, detección y respuesta de puntos terminales, realización de evaluaciones de seguridad frecuentes para identificar y abordar vulnerabilidades de manera proactiva y realización de análisis de riesgos periódicos para comprender y mitigar amenazas potenciales de manera efectiva, dijo Moore. “Estos controles deberían estar alineados con prácticas de seguridad reconocidas como el Marco de Ciberseguridad del NIST o las Prácticas de Ciberseguridad de la Industria de la Salud y basarse en ellas”. URL original de la publicación: https://www.databreachtoday.com/reports-florida-health-department-dealing-data-heist-a-25722