1,6 millones de personas afectadas por una filtración masiva de datos en la Cooperativa de Servicios de Laboratorio

El proveedor de pruebas médicas Laboratory Services Cooperative (LSC) ha confirmado una devastadora filtración de datos que expuso la información personal y médica confidencial de aproximadamente 1,6 millones de personas. El incidente, ocurrido en octubre de 2024, ha suscitado serias preocupaciones sobre la seguridad de los datos sanitarios y la creciente amenaza de ciberataques contra el sector médico.

Según LSC, la brecha se identificó el 27 de octubre, después de que un atacante se infiltrara con éxito en la red de la organización y exfiltrara numerosos archivos con información altamente confidencial. Los datos comprometidos afectan tanto a pacientes como a empleados, incluyendo a los afiliados a centros selectos de Planned Parenthood.

¿Qué información fue robada en la filtración de datos de LSC?

El alcance de la información expuesta es alarmante. Es posible que se hayan robado nombres, domicilios, números de teléfono, direcciones de correo electrónico, fechas de nacimiento y números de la Seguridad Social de las personas afectadas. Además, también se vieron comprometidos los números de licencia de conducir, de identificación oficial o de pasaporte, e información detallada del seguro médico.

Para algunos pacientes, la filtración se extendió aún más, revelando detalles de diagnóstico y tratamiento, fechas y lugares de atención médica, números de historial médico y resultados de laboratorio. Este tipo de datos es particularmente sensible, ya que podría utilizarse para el robo de identidad médica o para chantajear a las víctimas.

Entre la información robada también se encontraban datos financieros. Números de cuentas bancarias, detalles de tarjetas de pago, registros de facturación, números de reclamaciones y otros identificadores financieros personales podrían estar ahora en manos de ciberdelincuentes. LSC también ha confirmado que durante el ataque se accedió a información relacionada con los dependientes o beneficiarios de sus empleados.

Pacientes de Planned Parenthood entre los afectados

LSC señaló que una parte de los datos comprometidos corresponde a pacientes de centros seleccionados de Planned Parenthood. La organización enfatizó que no todos los centros se vieron afectados; solo quienes recibían servicios de análisis de laboratorio de LSC estuvieron potencialmente expuestos.

“Le informamos que este incidente no afectó a todos los centros de Planned Parenthood”, declaró la organización en su notificación oficial de la infracción. “Es posible que solo haya afectado a los centros que recibieron servicios de análisis de laboratorio de LSC”.

Aunque LSC aún no ha revelado el método específico empleado en el ciberataque, ni si se produjo algún intento de extorsión, la organización ha contratado a expertos en ciberseguridad externos para investigar el incidente y detectar posibles usos indebidos de los datos robados. Hasta el momento, no ha surgido ninguna evidencia que indique que la información comprometida se haya distribuido o vendido en la dark web.

LSC responde con servicios de protección y monitoreo de identidad

En una presentación ante la Fiscalía General de Maine, LSC confirmó que 1.6 millones de personas se vieron afectadas. La organización ofrece a las personas afectadas 12 o 24 meses de servicios gratuitos de monitoreo de crédito y protección de identidad médica, según el tipo de información comprometida.

A pesar de estos esfuerzos, la filtración plantea interrogantes cruciales sobre cómo los proveedores de atención médica protegen los datos de los pacientes y si el sector está preparado para defenderse de ciberamenazas cada vez más sofisticadas. El robo de historiales médicos y financieros presenta un doble riesgo para las víctimas, que ahora podrían enfrentarse a amenazas de robo de identidad, fraude o algo peor.

Mientras continúan las investigaciones, se insta a las personas afectadas a mantenerse alertas, supervisar de cerca sus cuentas financieras y médicas, y aprovechar los servicios de protección ofrecidos. Este incidente es un nuevo recordatorio de lo importante que es la ciberseguridad en el sector sanitario y de la necesidad de contar con defensas más sólidas y proactivas en todos los ámbitos.