SuperCare Health enfrenta una demanda por tener "medidas de seguridad incompetentes" para detener la filtración de datos.

El demandante presentó una demanda contra SuperCare Health en el Distrito Central de California, Estados Unidos, alegando que la empresa tiene "medidas de seguridad incompetentes" para evitar filtraciones de datos.

SuperCare Health, con sede en California, se enfrenta a una demanda a raíz de la filtración de datos de julio de 2021. SuperCare ha revelado recientemente que alrededor de 318,379 registros de datos Los sistemas se vieron comprometidos, lo que la convierte en una de las mayores filtraciones de datos de Medicare reportadas en 2022.

Según SuperCare Health, entre el 23 y el 27 de julio, ciberdelincuentes accedieron a la base de datos de la organización sin autorización. Los atacantes obtuvieron acceso a información personal identificable (PII, por sus siglas en inglés), como nombres, información del seguro médico, dirección, números de historial clínico, fecha de nacimiento, números de cuenta de pacientes, información sobre reclamaciones de seguros, información sobre tratamientos de pacientes e información del grupo de Medicare.

Sin embargo, en una demanda presentada en el Distrito Central de California de los Estados Unidos, la demandante Vickey Angulo alegó que la organización de salud no impidió la filtración de datos ni implementó medidas efectivas de protección de ciberseguridad. “a pesar de que los ataques de violación de datos contra sistemas médicos y proveedores de atención médica están en su punto más alto de la historia”. 

“Según la información disponible, el mecanismo del ciberataque y el potencial de divulgación indebida de la información privada del demandante y de los miembros del grupo constituían un riesgo conocido para el demandado, debido a los frecuentes informes de prensa y las advertencias del FBI al sector sanitario. Por lo tanto, el demandado estaba al tanto de que, al no tomar las medidas necesarias para proteger la información privada de dichos riesgos, la propiedad quedaba en una situación peligrosa y vulnerable”. declaró la presentación.

Sin embargo, la demanda también alega que, gracias al acceso a la información de los pacientes, los ciberdelincuentes pueden abrir nuevas cuentas financieras mediante identidades sintéticas, utilizar la información de los miembros del grupo para obtener beneficios gubernamentales y conseguir permisos de conducir falsos a nombre de las víctimas.

El demandante también argumentó que el aviso de incumplimiento de SuperCare proporcionó “Escasos detalles sobre la naturaleza, la gravedad o la duración del ataque.”

SuperCare describió el incidente como “actividad no autorizada” y afirmó que una parte desconocida obtuvo acceso a ciertos sistemas de su red. “No logró adaptar ni capacitar adecuadamente a sus empleados ni siquiera en los protocolos de seguridad de la información más básicos.”

Además, el demandante señaló que la empresa de salud notificó a las víctimas sobre la filtración de datos en marzo, meses después de ocurrida. El aviso de SuperCare explicaba que su investigación concluyó el 4 de febrero de 2022. Asimismo, se alegó que la empresa violó la HIPAA y las directrices de la Comisión Federal de Comercio (FTC), e incumplió los requisitos de seguridad del NIST.

Lectura sugerida: Las organizaciones sanitarias de Sudáfrica se convierten en la última víctima de los ciberdelincuentes.