Una mala configuración de Google Analytics en algunos sitios de Blue Shield de California, facilitó que 4,7 millones de registros de personas adscritas al servicio quedaran expuestos. Los datos pertenecen a usuarios del sistema entre abril de 2021 y enero de 2024.
Blue Shield of California, una de las aseguradoras de salud más grandes de ese populoso estado del oeste de los Estados Unidos, admitió esta semana haber compartido accidentalmente información protegida de unos 4,7 millones de personas con las plataformas publicitarias de Google, a través de una configuración errónea en su uso de Google Analytics.
Entre abril de 2021 y enero de 2024, Blue Shield utilizó esta herramienta para analizar la actividad de los usuarios en su sitio web. Sin embargo, el 11 de febrero de este año, la organización descubrió que dicha herramienta estaba vinculada de manera inapropiada con Google Ads, lo cual permitió que datos confidenciales de los miembros fueran potencialmente utilizados con fines de publicidad dirigida.
La información expuesta es de alto riesgo e incluye datos como el nombre del plan de seguro, número de grupo, código postal, género, información familiar, fechas de servicios médicos, nombres de los pacientes y criterios de búsqueda utilizados para encontrar doctores. Aunque la aseguradora indicó que no se compartieron datos financieros o de identificación como el número de Seguro Social, el incidente ha despertado preocupación a nivel general.
“Google puede haber usado estos datos para realizar campañas publicitarias dirigidas a esos miembros individuales. Queremos asegurar a nuestros miembros que no hubo un actor malicioso involucrado”, expresó Blue Shield en su comunicado. No obstante, hasta ahora Google no ha respondido sobre si la información fue eliminada o qué destino tuvo.
Este evento se suma a una creciente inquietud por el uso de herramientas de rastreo digital en el sector salud. Tanto la Comisión Federal de Comercio (FTC) como el Departamento de Salud y Servicios Humanos (HHS) ya habían advertido previamente sobre los riesgos de plataformas como Google Analytics y el píxel de Meta/Facebook, las cuales suelen recolectar datos que los usuarios ni siquiera saben que están compartiendo.
La filtración de Blue Shield no es un caso aislado. Solo en lo que va de abril, al menos 17 organizaciones sanitarias más han notificado filtraciones de datos a reguladores estatales. Una de las más alarmantes fue la de Onsite Mammography, que afectó a más de 357 mil personas, logrando obtener datos como nombres, números de Seguro Social y registros médicos.
La situación es especialmente preocupante porque varios de estos incidentes están siendo atribuidos a grupos de ransomware que ya han amenazado con publicar la información robada. Este tipo de delitos no solo pone en riesgo la privacidad de los pacientes, sino que también puede derivar en fraudes financieros, suplantación de identidad y chantajes.
Expertos en ciberseguridad advierten que este tipo de brechas seguirán ocurriendo mientras no se apliquen regulaciones más estrictas y las instituciones sanitarias no actualicen sus medidas de protección digital. Sin embargo, los intentos recientes del gobierno federal por restringir el uso de herramientas de rastreo en hospitales fueron bloqueados por un fallo judicial que consideró las nuevas reglas como ilegales.
Pese a la magnitud del incidente, Blue Shield no ha ofrecido servicios de protección contra el robo de identidad a los afectados, ni ha confirmado si notificará individualmente a cada miembro cuyo historial fue comprometido.
Mientras tanto, las autoridades recomendaron a los usuarios que monitoreen de cerca sus cuentas bancarias, informes de crédito y cualquier movimiento inusual que pudiera indicar el uso indebido de su información.