Ransomware contra un proveedor de servicios de salud mental de Texas afecta a 172 mil pacientes

The Behavioral Health Solution anunció esta semana sobre una filtración de datos que afecta a 171.871 pacientes.

El proveedor de atención de salud mental Deer Oaks Behavioral Health, con sede en San Antonio, Estados de Texas, en los Estados Unidos, está notificando a casi 172 mil pacientes que su información se vio potencialmente comprometida en un incidente de ransomware, ello a pesar de que aparentemente el ataque fue detectado y contenido rápidamente.

Deer Oaks Behavioral Health brinda servicios psicológicos y psiquiátricos a residentes en más de 1.500 centros de atención en varios estados.

El pasado martes informaron ante la oficina del Fiscal General en el Estado de Maine, que estaban en conocimiento de una posible actividad no autorizada dentro de su red informática desde el 1 de septiembre pasado.

“La actividad no autorizada fue detectada y aislada inmediatamente por el software antivirus de Sophos, limitando el incidente a un segmento de la red de Deer Oaks”, indicaron en el documento de presentación del incidente.

 Tras descubrir el incidente, Deer Oaks contrató a un proveedor externo para proteger su red y realizar una investigación forense para determinar la naturaleza y el alcance de la actividad no autorizada, dijo la entidad.

Un representante legal de Deer Oaks señaló a los medios que el incidente de ciberseguridad se restringía a un “segmento único” de la red de la entidad, y si bien dio luces de que el incidente en cuestión pudo tratarse de un ransomware, no se refirió a que algún tipo de información fue cifrada por parte de los cibercriminales.

Pese a lo anterior, la fuente legal señaló a los medios que “Si bien Deer Oaks continúa realizando una investigación forense, ha decidido proceder a notificar a los reguladores estatales, así como a aquellas personas cuya información pudo haber sido afectada por el incidente, con una oferta de servicios gratuitos de monitoreo de crédito y protección contra robo de identidad”.

En el informe ante el Fiscal General de Maine, la entidad especifica que la notificación era extensiva para 171.871 personas.

El aviso de la entidad indica que la información de los pacientes potencialmente comprometidos incluye los nombres, direcciones, fechas de nacimiento, números de Seguro Social, códigos de diagnóstico, información de seguros y tipos de servicios de tratamiento.

Como parte de la mitigación, la entidad fortaleció sus políticas de contraseña, y otras salvaguardas técnicas y no técnicas, así como sus políticas y procedimientos relacionados con la privacidad y seguridad de los datos, así como su plan de gestión de riesgos.