Ciberdelito, Gestión del fraude y ciberdelito, Atención sanitaria Más de 1,2 millones de datos confidenciales de pacientes expuestos en lo que va de añoMarianne Kolbasuk McGee (HealthInfoSec) • 28 de agosto de 2024 Imagen: Getty Images Algunos dentistas no tienen muchos motivos para sonreír en estos días cuando se trata de ciberataques. Más de 1,2 millones de sus pacientes han visto comprometidos sus datos confidenciales en lo que va de 2024, incluidos varios incidentes notificados a los reguladores en el último mes. Ver también: Navegador empresarial que respalda la atención sanitaria y la ciberresiliencia Hasta el miércoles, las prácticas dentales en 2024 han informado al menos dos docenas de importantes violaciones de datos a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU., que publicó los incidentes en su sitio web de la herramienta de notificación de violaciones de HIPAA. El mayor ataque informático denunciado a la OCR del HHS en lo que va de año afectó a Risas Dental & Braces, con sede en Arizona, que el 28 de marzo informó de un incidente informático que afectaba a un servidor de red y a 618.189 personas. La investigación de ese incidente, detectado por primera vez en julio de 2023, determinó que los archivos almacenados en los sistemas de información de Risas pueden haber sido extraídos sin autorización. Los datos afectados incluyen el nombre de los pacientes, la información de contacto, la información del tratamiento (como los nombres o notas de los procedimientos), la fecha o las fechas iniciales del servicio y la información del suscriptor del seguro. La información no contenía los números de la Seguridad Social de los pacientes, la información detallada del tratamiento ni los registros del tratamiento, dijo Risas. Otra gran infracción denunciada en las últimas semanas a la OCR del HHS afectó a tres prácticas dentales especializadas con sede en Minnesota relacionadas con un ataque informático al correo electrónico de la empresa matriz Park Dental. En conjunto, los ataques informáticos afectaron a unos 279.000 pacientes. PDG, PA, que opera como Park Dental, informó de que su ataque informático afectó a 238.667 personas; The Dental Specialists informó de casi 39.000 personas afectadas; y Facial Pain Center informó que 1.894 personas se vieron afectadas en su violación. Durante al menos dos días antes en la semana, la violación de Facial Pain Center figuraba en el sitio web de la OCR del HHS como afectada por casi 239.000 personas. Pero una portavoz del centro de dolor le dijo a Information Security Media Group que fue un error de la OCR del HHS. La agencia corrigió la publicación a última hora del martes. Cada uno de sus avisos de violación dice que el 23 de enero, la organización se dio cuenta de la actividad no autorizada en un número limitado de cuentas de correo electrónico de los empleados. «En respuesta, tomamos medidas de inmediato para proteger las cuentas de correo electrónico. Con la ayuda de especialistas en ciberseguridad de terceros, iniciamos una investigación sobre la naturaleza y el alcance del evento». Las investigaciones determinaron que un actor no autorizado potencialmente vio o accedió a la información almacenada en las cuentas de correo electrónico de un número limitado de cuentas de correo electrónico de los empleados entre el 11 y el 23 de enero. Cada práctica dijo que su incidente «se limitó a nuestro entorno de nube Microsoft 365 y no implicó un compromiso de su red informática interna o base de datos de registros de pacientes». Otros ataques New Jersey Oral & Maxillofacial Surgery también informó sobre una importante filtración de datos de salud en las últimas seis semanas. El 12 de julio, la práctica dental especializada informó a la OCR del HHS un incidente de piratería informática que involucraba un servidor de red que afectó a más de 74.000 pacientes, una de las mayores filtraciones informadas a la agencia por una práctica dental en los últimos meses. New Jersey Oral & Maxillofacial Surgery en su notificación de filtración dijo que el incidente, que se detectó en mayo, resultó en el acceso no autorizado y la adquisición de ciertos archivos en los sistemas informáticos de la práctica. La información contenida en esos archivos afectados incluye el nombre completo de los pacientes, la dirección de su casa, la fecha de nacimiento, otra información demográfica y de contacto, el número de la Seguridad Social, el número de la licencia de conducir y el número de identificación estatal, información financiera y de la cuenta, información del seguro e información de diagnóstico y tratamiento. La práctica dijo que ofrecía monitoreo gratuito de crédito e identidad a las personas afectadas y está implementando «salvaguardas adicionales» para ayudar a prevenir incidentes similares en el futuro. Causas fundamentales ¿Por qué se han visto afectadas tantas prácticas dentales? Los consultorios dentales son vulnerables a ataques informáticos (incluidos ransomware, phishing, robo de datos y otros incidentes) por muchas de las mismas razones que ponen en riesgo a las organizaciones más pequeñas o especializadas del sector de la salud, dijeron los expertos. «Los consultorios dentales normalmente no tienen controles de seguridad sólidos», dijo Kate Borten, presidenta de la firma de consultoría de privacidad y seguridad The Marblehead Group. «Dependen de terceros para gran parte de su tecnología, incluida la seguridad, a veces con presupuestos bajos y supervisión limitada», dijo. El personal de los consultorios pequeños a menudo no recibe una capacitación extensa en seguridad y privacidad en comparación con las entidades más grandes, como muchos hospitales, dijo Borten. «Es poco probable que la seguridad esté cerca de ser la principal prioridad en las operaciones diarias, lo que lleva a vulnerabilidades de phishing en la gestión de correo electrónico y contraseñas», y otras debilidades. Muchos incidentes que involucran consultorios dentales, como los informados por Park Dental, The Dental Specialists y Facial Pain Center en Minnesota, sugieren que uno de los vectores de acceso inicial más frecuentes es el compromiso de una cuenta de correo electrónico, dijo Mike Hamilton, fundador y CISO de la firma de seguridad Critical Insight. “Esto indicaría phishing en ausencia de autenticación multifactor, reutilización de credenciales que se hicieron públicas en un incidente separado o adivinación de contraseñas en un servicio público como un producto de acceso remoto”, dijo. Hamilton dijo que muchos dentistas se resisten a controles adicionales como la autenticación multifactor, que ven como impedimentos para la atención al paciente. “Estas condiciones crean la oportunidad de explotar la vulnerabilidad de las tecnologías orientadas a Internet, el uso indebido de credenciales mediante el relleno y la fuerza bruta, y el uso del proveedor de servicios administrados como la ‘ventana desbloqueada’ para alcanzar los objetivos previstos”, dijo. Para reforzar las prácticas de seguridad, las prácticas dentales deben implementar los objetivos de desempeño de ciberseguridad que el HHS publicó a principios de este año, dijo Hamilton, y agregó que los objetivos se basan en las mejores prácticas respaldadas por CISA, el Instituto Nacional de Estándares y Tecnologías y varios grupos de la industria (ver: HHS detalla nuevos objetivos de desempeño cibernético para el sector de la salud). “Los CPG son los controles más básicos que son efectivos para aumentar el grado de esfuerzo que necesita el atacante para obtener acceso”, dijo. “Además, la implementación de las CPG, dependiendo del estado en el que se encuentre la práctica, puede ser un refugio seguro para la acción regulatoria y puede ayudar a evitar sanciones civiles adicionales, como demandas colectivas”. URL de la publicación original: https://www.databreachtoday.com/nothing-to-smile-about-hacks-on-dental-practices-swell-a-26157