Cuando una expaciente de un hospital hizo una búsqueda rutinaria de su nombre en Google, cuatro años atrás, encontró que sus registros médicos y toda su historia clínica en este lugar estaban disponibles en línea. Pero una investigación reveló que la información, que incluía diagnósticos, medicación activa, resultados de exámenes de laboratorio, alergias, índice de masa corporal y presión sanguínea, entre otras cosas, no había sido robada.
En verdad, los datos quedaron expuestos "como resultado de ajustes de seguridad mal configurados"; los sistemas internos de este y otros hospitales administrados por St. Joseph Health System en Estados Unidos eran tan inseguros que permitían el acceso externo irrestricto.
La investigación descubrió que los registros de salud de más de 31.000 pacientes estuvieron expuestos al público durante cerca de un año. Obedeciendo a la ley de California, que indica que las víctimas de una brecha y las autoridades pertinentes deben ser notificadas de tal evento, St. Joseph Health System (SJHS) debió enviar una carta a cada paciente afectado.
Dos de las víctimas demandaron a la entidad, y luego de una batalla legal de dos años, un juez estatal de California aprobó el acuerdo económico más alto por demandante en un caso de brecha de datos, que le costará 28 millones de dólares a SJHS.
Los demandantes recibirán 7,5 millones de dólares; además, la entidad debe invertir 4,5 millones en servicios de monitoreo de crédito para todos los pacientes afectados, así como establecer un fondo de 3 millones para compensar a todos aquellos que sufran robos de identidad a raíz de este incidente.
Otros 7,4 millones del arreglo serán destinados a cubrir los honorarios del abogado y una suma mandatoria de 13 millones debe destinarse a hacer que los hospitales de St. Joseph Health System cumplan con las regulaciones.
Pero más allá de estas demandas, SJHS podría ser sujeto a un plan de acción correctivo o a más penalidades financieras, dependiendo de los resultados que arrojen las investigaciones del Departamento de Salud y la Oficina de Derechos Civiles.
Para poner en contexto lo que significa este acontecimiento, le pedimos a Lysa Myers, investigadora de seguridad de ESET, que nos dé su opinión:
Este acuerdo debería darle a las organizaciones una idea clara del costo creciente de fallar a la hora de proteger todos los datos personales que tienen en sus manos.
Es importante que las organizaciones aseguren el acceso a las máquinas que alojan información sensible y protejan las bases de datos por sí mismas. Sin hacer una evaluación de riesgos constante y regular, y luego implementar auntenticación y cifrado robusto donde sea necesario, es demasiado fácil que los datos sensibles se escapen a través de las grietas.
Sigue leyendo: Robo de registros y datos de salud, mucho más que información médica