Una brecha de ciberseguridad en CareCloud, una empresa de tecnología de la salud con sede en EE. UU. que apoya a decenas de miles de proveedores médicos, está generando preocupación de que los datos personales y médicos de millones de pacientes podrían estar en riesgo.
La compañía confirmó que se detectó acceso no autorizado el 16 de marzo dentro de uno de sus entornos de registros de salud electrónicos (EHR), parte de su división CareCloud Health. La interrupción duró varias horas antes de que se restauraran los sistemas, pero las implicaciones se extienden mucho más allá del tiempo de inactividad temporal.
Qué se accedió y qué permanece desconocido
CareCloud reveló el incidente en una presentación ante la Comisión de Bolsa y Valores de EE. UU., afirmando que un tercero obtuvo acceso a un único sistema que almacena registros de pacientes. Si bien la compañía dice que la amenaza ha sido contenida, aún no ha determinado si se accedió o se exfiltró algún dato.
Esa incertidumbre es central. El entorno afectado contiene información médica altamente sensible, y la empresa no ha proporcionado una estimación de cuántas personas podrían verse afectadas en última instancia.
Otras plataformas y sistemas, según CareCloud, no fueron afectados.
Una vasta red con exposición invisible
El alcance de CareCloud complica la situación. El software de la compañía es utilizado por más de 45,000 proveedores de atención médica en todo Estados Unidos, incluyendo clínicas, consultorios médicos y sistemas hospitalarios.
Debido a que los pacientes suelen interactuar con los proveedores -no con los proveedores de software de backend- muchos quizás no sepan que sus datos están almacenados dentro de la infraestructura de CareCloud. Esa falta de visibilidad significa que los individuos afectados podrían permanecer sin darse cuenta de cualquier exposición potencial.
Los registros de atención médica se encuentran entre los objetivos más valiosos en los ciberataques. A diferencia de los datos financieros, que a menudo pueden restablecerse o reemplazarse, la información médica es permanente y estratificada, incluyendo detalles de identidad, datos de seguros e historial clínico.
Eso lo hace especialmente útil para el robo de identidad, la facturación fraudulenta y la explotación a largo plazo.
El incidente también subraya preocupaciones más amplias sobre la infraestructura de nube centralizada en la atención médica. Gran parte del sistema de CareCloud opera en Amazon Web Services, una plataforma ampliamente utilizada que permite la escala pero también concentra datos sensibles en menos entornos.
Presión legal y precauciones del paciente
Las firmas de abogados ya han comenzado a revisar el caso para posibles litigios, como es típico en incidentes de datos a gran escala que involucran información personal. Incluso sin un uso indebido confirmado, los expertos en ciberseguridad están aconsejando a los pacientes que tomen medidas de precaución, incluyendo el monitoreo de la actividad financiera, la revisión de los registros médicos en busca de anomalías y la consideración de alertas o congelamientos de crédito.
CareCloud ha declarado que está trabajando con especialistas externos en ciberseguridad y las fuerzas del orden como parte de una investigación forense en curso. La compañía también indicó que tiene seguro de ciberseguridad para cubrir posibles pérdidas.