Más de tres semanas después de que Palomar Health Medical Group detectara “actividad sospechosa” en su red, los pacientes aún no saben si alguno de sus datos personales se vio comprometido.
“Nadie dijo nada sobre lo que pasó, lo que hicieron, lo que arreglaron. Nada”, nos dijo el paciente Vernon Weaver el 7 de mayo. “Tienen mi nombre, dirección, número de teléfono, tipo de sangre, fecha de nacimiento, número de seguro social, pariente más cercano”.
Weaver nos dijo que PHMG envió una actualización el 21 de mayo, pero nuevamente, no dijo nada sobre la posible exposición de datos.
Los centros médicos Palomar en Poway y Escondido no se han visto afectados por el incidente de ciberseguridad.
“Desafortunadamente, estos incidentes son ransomware y eventualmente saldrán a la luz”, dijo Sai Huda, director ejecutivo de CyberCatch.
Si bien PHMG no ha dicho si se trató de un ataque de ransomware, Huda sospecha que se basa en los avisos enviados a los pacientes y en su experiencia en el manejo de emergencias de ciberseguridad.
Huda dijo que no tener noticias sobre datos potencialmente comprometidos puede ser una buena noticia para los pacientes.
“Es posible que hayan detectado el ransomware a tiempo y que tal vez no haya implicado infectar un montón de sistemas, tal vez unos pocos, y es posible que los datos no hayan sido extraídos”.
Pase lo que pase, el Centro de recursos sobre robo de identidad dice que los pacientes merecen saber más información a estas alturas.
“Las empresas tienen tiempo suficiente para obtener al menos la información básica disponible antes de enviar la mayoría de los avisos de violación de datos”, dijo James E. Lee, director de operaciones del ITRC.
A Lee le preocupa que casi un mes después, los pacientes todavía no sepan qué datos pueden haber sido comprometidos.
“Sé lo más transparente que puedas hoy, explica a la gente la limitación. No dejes este vacío de información para que no entiendan por qué no puedes ser más comunicativo”.
Lee dice que en los últimos años ha habido menos transparencia en lo que respecta a las violaciones de datos en todo el país. Dice que en 2021, el 100% de los avisos de violación de datos contenían información sobre lo sucedido, qué información se vio comprometida y cuántas personas se vieron afectadas. Dice que desde entonces, este nivel de transparencia se ha reducido a aproximadamente el 50% en 2023 y al 68% en lo que va de 2024.
“La comunicación constante siempre será valiosa, incluso si no necesariamente tienes mucha información nueva, simplemente reiterarle a la gente que hay cosas que puedes hacer”, dijo Lee.
Llevamos las preocupaciones del ITRC al PHMG. Respondieron que no tenían nada nuevo que agregar al comunicado que nos enviaron hace tres semanas.
Esa declaración decía: “Especialistas externos están trabajando con Palomar Health Medical Group para investigar el origen de esta interrupción, confirmar su impacto en nuestros sistemas y restaurar la funcionalidad completa de nuestros sistemas lo antes posible. También estamos investigando qué impacto, si lo hubo, tuvo este incidente en la seguridad de los datos dentro de nuestro entorno”.
Una vez más, PHMG no ha descrito lo sucedido como una violación de datos o un ataque de ransomware. De todos modos, CyberCatch está de acuerdo con el ITRC en que se necesita más transparencia con los pacientes.
“No debería ser así, esperar mucho y contarlo todo. Debería, ya sabes, contarse a medida que evolucionan los acontecimientos. Creo que eso es una buena transparencia”, dijo Huda.
El ITRC dice que simplemente monitorear su crédito ya no es suficiente porque estará librando una batalla cuesta arriba si detecta que alguien ha robado su identidad. Es mejor congelar proactivamente su crédito con las tres grandes agencias de informes crediticios para evitar que alguien abra nuevas cuentas a su nombre. Si necesita solicitar crédito, puede levantar temporalmente el congelamiento.
Utilice estos enlaces para congelar su crédito de forma gratuita:
Equifax
experiano
TransUnión