Las violaciones de datos sanitarios de 2024 expusieron 186 millones de registros en 720 incidentes
En 2024, el sector de la salud de EE. UU. se enfrentó a la asombrosa cifra de 720 violaciones de datos denunciadas, que comprometieron aproximadamente 186 millones de registros de usuarios. Estas violaciones, denunciadas ante la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS OCR), ponen de relieve los crecientes riesgos de ciberseguridad a los que se enfrentan las organizaciones de atención médica. Si bien la cantidad de registros expuestos es enorme , la cantidad real de personas afectadas puede ser menor, ya que algunas pueden haber sido afectadas por múltiples violaciones.
Los datos comprometidos incluían información médica y personal confidencial, como nombres, datos de contacto, números de la Seguridad Social, fechas de nacimiento, datos de seguros, registros médicos e información financiera. Los proveedores de atención médica fueron las entidades más atacadas , con aproximadamente 520 incidentes. Los socios comerciales de las organizaciones de atención médica también se vieron gravemente afectados, con 120 infracciones reportadas. Casi 100 incidentes involucraron planes de salud.
Tabla de contenido
La piratería y los incidentes informáticos son los principales problemas
La mayoría de las infracciones denunciadas (cerca de 600) se clasificaron como incidentes de piratería o de TI, que a menudo incluyen ataques de ransomware . El acceso o la divulgación no autorizados fueron la segunda causa más común de infracciones. Los servidores de red fueron el objetivo principal en aproximadamente 450 incidentes, mientras que los sistemas de correo electrónico (que a menudo se utilizan para la suplantación de identidad y la distribución de malware) estuvieron involucrados en 160 infracciones.
Desglose de las infracciones por estado
La base de datos OCR del HHS reveló que Texas y California experimentaron la mayor cantidad de incidentes, con aproximadamente 60 infracciones cada uno. Otros estados con cifras significativas de infracciones fueron Nueva York (46), Illinois (43), Florida (37), Pensilvania (31), Ohio (29), Massachusetts (29), Tennessee (25) y Michigan (22).
Violaciones de alto perfil de 2024
Entre las infracciones denunciadas, el ataque de ransomware a Change Healthcare se destacó como el más grande, ya que afectó a aproximadamente 100 millones de personas. Esta infracción por sí sola representó más de la mitad de los registros comprometidos denunciados en 2024.
Otras infracciones notables incluyen:
- Kaiser Permanente : 13,4 millones de registros comprometidos
- Ascension Health : 5,5 millones de registros
- HealthEquity : 4,3 millones de registros
- Servicios de Salud Concentra : 3,9 millones de registros
- Centros de Servicios de Medicare y Medicaid : 3,1 millones de registros
- Servicio de ambulancias de Acadia : 2,8 millones de registros
- Sav-Rx (A&A Services) : 2,8 millones de registros
- WebTPA : 2,5 millones de registros
- Integris Health : 2,3 millones de registros
Otras organizaciones de atención médica también enfrentaron violaciones que afectaron a más de un millón de personas, entre ellas Medical Management Resource Group (2,3 millones), Summit Pathology (1,8 millones) y Geisinger (1,2 millones).
La creciente amenaza a la atención sanitaria
El sector sanitario sigue siendo un objetivo prioritario para los cibercriminales debido a la información confidencial y de alto valor que almacena. Los ataques de ransomware , las campañas de phishing y la explotación de vulnerabilidades de TI siguen siendo los principales métodos utilizados por los atacantes para obtener acceso a los sistemas sanitarios. Estos incidentes ponen de relieve la necesidad crítica de adoptar medidas de ciberseguridad sólidas en el sector, incluida una mayor seguridad de la red, la formación de los empleados para combatir el phishing y protocolos de autenticación más sólidos.
A medida que las organizaciones de atención médica continúan digitalizando sus operaciones y recurren a plataformas basadas en la nube, se espera que aumente el riesgo de violaciones de datos. Esto subraya la necesidad de medidas de seguridad proactivas, monitoreo de amenazas y planes de respuesta rápida para mitigar el daño causado por los ciberataques.
Las infracciones de 2024 sirven como un duro recordatorio de que incluso las organizaciones más conocidas pueden ser víctimas de ataques, con consecuencias generalizadas tanto para los pacientes como para los proveedores. Con tanto en juego, tanto a nivel personal como financiero, el sector sanitario debe priorizar la protección de datos para mantenerse por delante de los ciberdelincuentes en los próximos años.