Por Jose Pagliery, CNNMoney
(CNNMoney) – El lunes, la empresa Community Health Systems, que maneja 206 hospitales en Estados Unidos, anunció que un grupo de piratas informáticos accedió recientemente a sus computadoras y robó datos de 4,5 millones de pacientes.
Los piratas informáticos obtuvieron acceso a sus nombres, números de seguridad social, direcciones físicas, fechas de cumpleaños y números telefónicos.
Cualquier persona que haya sido tratada en los últimos cinco años por un médico vinculado a un hospital de esta red -o que simplemente fuera remitida allí por un médico externo- se vio afectada.
El robo de datos pone a estas personas ante un mayor riesgo de suplantación de identidad. Eso les permite a los criminales abrir cuentas bancarias y adquirir tarjetas de crédito a su nombre, pedir préstamos y arruinar el historial crediticio personal.
Los hospitales de la compañía operan en 28 estados, pero tienen mayor presencia en Alabama, Florida, Misisipí, Oklahoma, Pensilvania, Tennessee y Texas.
Community Health Systems contrató a expertos en seguridad cibernética de Mandiant para consultarles sobre el robo de datos. Ellos han determinado que los piratas informáticos actuaron desde China y usaron malware sofisticado de alta calidad para lanzar los ataques en algún momento en abril y junio de este año.
El FBI dijo que está trabajando conjuntamente con la red de hospitales y está “movilizando recursos importantes y esfuerzos para identificar, detener, desmantelar y arrestar a los responsables”.
Los investigadores federales y Mandiant informaron a la red de hospitales que estos piratas informáticos ya habían sido descubiertos cometiendo espionaje corporativo, enfocados en información valiosa sobre dispositivos médicos.
En cambio esta vez, robaron datos de pacientes. Los hackers no lograron robar información relacionada con los historiales médicos, las operaciones clínicas ni las tarjetas de crédito de los pacientes.
No obstante, la información personal que robaron está protegida por la “Health Insurance Protability and Accountability Act”, la ley federal de protección de registros médicos. Esto significa que los fiscales generales de los estados podrían demandar por daños. Bajo las leyes estatales, los pacientes mismos podrían demandar a la red de hospitales por negligencia.
¿Es posible que las víctimas expuestas se protejan? No es mucho lo que pueden hacer.
Las acciones de la empresa Community Health Systems, que cotiza en bolsa, subieron el lunes por la mañana. Pero ese día, la empresa intentó contener las preocupaciones en relación a los daños en un documento dirigido a la Securities and Exchange Commission, afirmando que “cuenta con un seguro de responsabilidad cibernética/de privacidad para protegerla en contra de ciertas pérdidas relacionadas a asuntos de esta naturaleza”.
La red de hospitales dijo que justo después del anuncio del lunes logró eliminar el malware de los hackers de su sistema informático e implementaron medidas de protección para prevenir ataques similares.
La compañía planea ofrecer protección contra la suplantación de identidad a los 4,5 millones de víctimas del robo de datos.
Evan Pérez de CNN contribuyó con este reportaje.