La filtración de datos de ViaQuest Psychiatric expone la PII y la PHI de 6,420 pacientes

La filtración de datos de ViaQuest Psychiatric expone la PII y la PHI de 6,420 pacientes

ViaQuest Psychiatric & Behavioral Solutions ha revelado una filtración de datos que afecta al menos a 6,420 pacientes y empleados actuales y antiguos. El incidente expuso tanto información personal identificable (PII) como información de salud protegida (PHI), poniendo a miles de personas en mayor riesgo de robo de identidad, discriminación y fraude financiero. Para cualquiera que haya buscado servicios de salud conductual, esta filtración es un recordatorio contundente de que la protección de la privacidad de los datos de salud ya no es opcional.

Qué expuso la filtración de ViaQuest y quiénes están afectados

La filtración confirmada en ViaQuest Psychiatric & Behavioral Solutions involucró una doble categoría de datos comprometidos: PII, que normalmente incluye nombres, direcciones, fechas de nacimiento y números de Seguro Social, junto con PHI, que cubre diagnósticos, registros de tratamiento, medicamentos e historiales de citas. La combinación de ambos tipos en una sola filtración es particularmente peligrosa.

Las personas afectadas incluyen tanto a pacientes actuales y antiguos como a empleados, lo que significa que la exposición no se limita a quienes están recibiendo atención activamente. Los antiguos pacientes que buscaron tratamiento hace años aún pueden ver sus registros comprometidos. Los empleados enfrentan sus propios riesgos, incluido el robo de credenciales o la suplantación dirigida mediante sus datos laborales.

Este incidente sigue un patrón observado en todo el sector sanitario. La filtración de OpenLoop Health que expuso los datos médicos de 716,000 pacientes es un ejemplo destacado de cómo las plataformas de telesalud y salud conductual se han convertido en objetivos principales para los ciberdelincuentes que buscan monetizar registros sensibles.

Por qué los registros psiquiátricos y de salud conductual son especialmente sensibles

No todos los registros de salud tienen el mismo peso. Los datos psiquiátricos y de salud conductual se encuentran en una categoría de riesgo excepcionalmente alto por varias razones.

En primer lugar, este tipo de información es profundamente personal. Los registros relacionados con afecciones de salud mental, tratamiento por consumo de sustancias o diagnósticos psiquiátricos pueden afectar las oportunidades laborales, las decisiones de custodia de menores, la elegibilidad para seguros y las relaciones personales si se exponen. A diferencia de un número de tarjeta de crédito robado, no se puede simplemente cancelar un historial psiquiátrico.

En segundo lugar, los registros de salud conductual a menudo cuentan con protecciones legales adicionales más allá de las reglas estándar de HIPAA. En muchos estados, los registros de trastornos por consumo de sustancias están sujetos a la Parte 2 del Título 42 del Código de Regulaciones Federales (42 CFR Part 2), una regulación federal que exige un consentimiento más riguroso para su divulgación. Cuando estos registros son filtrados, las consecuencias legales y personales pueden ser considerablemente más complejas que una exposición típica de datos de salud.

En tercer lugar, los actores maliciosos conocen el poder de presión que proporcionan estos datos. Los registros psiquiátricos pueden utilizarse para extorsiones dirigidas, fraudes de seguros y ataques de ingeniería social diseñados para explotar a personas vulnerables que ya podrían estar atravesando circunstancias personales difíciles.

Cómo el acceso desprotegido a los portales de salud pone en riesgo a los pacientes

Los portales de salud, los sitios web y aplicaciones orientados al paciente que se usan para acceder a registros, programar citas y comunicarse con los proveedores, se han expandido rápidamente. La comodidad a menudo ha superado a la seguridad. Cuando los pacientes acceden a estos portales a través de redes Wi-Fi públicas no seguras, en cafeterías, bibliotecas o aeropuertos, exponen sus datos de sesión, credenciales de inicio de sesión y comportamiento de navegación a una posible interceptación.

Aquí es donde el cifrado y las redes privadas virtuales (VPN, por sus siglas en inglés) se vuelven directamente relevantes. Una VPN cifra la conexión entre su dispositivo e internet, dificultando significativamente que un tercero intercepte los datos en tránsito. Si bien una VPN no puede evitar una filtración en los servidores propios de la organización de salud, sí protege sus credenciales y la actividad de la sesión de ser recolectadas a nivel de red, especialmente en conexiones compartidas o no seguras.

Más allá del uso de una VPN, los pacientes deben buscar el cifrado HTTPS en cualquier portal que utilicen, activar la autenticación multifactor siempre que se ofrezca y evitar reutilizar contraseñas en las plataformas de salud y otras cuentas. El relleno de credenciales, en el que los atacantes usan pares de nombre de usuario y contraseña filtrados de una filtración para acceder a otros servicios, es una de las formas más comunes en que un solo incidente se convierte en múltiples compromisos. Incidentes como la filtración de ransomware de Beacon Mutual que afectó a 130,000 personas muestran cuán rápido las credenciales comprometidas pueden escalar dentro de una organización.

Medidas que pacientes y empleados pueden tomar ahora para proteger sus datos de salud

Si cree que podría estar afectado por la filtración de ViaQuest, o si desea reforzar su postura general de protección de la privacidad ante filtraciones de datos de salud, vale la pena tomar de inmediato las siguientes medidas.

Revise cuidadosamente las notificaciones de la filtración. ViaQuest está obligada según la Regla de Notificación de Filtraciones de HIPAA a informar por escrito a las personas afectadas. Lea detenidamente estos avisos para comprender exactamente qué datos estuvieron involucrados.

Solicite una congelación de crédito. Dado que la PII fue parte de esta filtración, congele su crédito en las tres principales agencias de crédito. Esto evita que se abran nuevas líneas de crédito a su nombre sin su autorización explícita.

Supervise su cuenta de seguro de salud. Esté atento a reclamaciones que no reconozca, lo que puede indicar un robo de identidad médica. Comuníquese con su aseguradora de inmediato si algo le parece extraño.

Use una VPN al acceder a los portales de salud. Cifrar su conexión es una precaución básica, especialmente si con frecuencia utiliza redes públicas o compartidas para administrar sus cuentas de salud.

Actualice las contraseñas y active la autenticación multifactor. Cambie las contraseñas de cualquier cuenta que compartiera credenciales con servicios relacionados con ViaQuest y active la autenticación multifactor (MFA) siempre que sea posible.

Solicite una copia de sus registros. Según HIPAA, usted tiene derecho a acceder a sus registros de salud. Revisarlos puede ayudarle a identificar cualquier modificación o divulgación no autorizada.

Lo que esto significa para usted

La filtración de ViaQuest puede parecer pequeña en comparación con incidentes que afectan a cientos de miles de personas, pero la sensibilidad de los datos psiquiátricos y de salud conductual implica que el impacto personal por cada individuo afectado puede ser desproporcionadamente alto. Las organizaciones de atención médica poseen parte de la información más íntima sobre nuestras vidas, y las filtraciones en este sector rara vez se limitan a un único punto de daño.

A medida que los proveedores de atención médica continúan trasladando los servicios a internet, los pacientes tienen más responsabilidad de protegerse a sí mismos en el camino. Usar una VPN al acceder a los portales de pacientes, elegir credenciales únicas y sólidas, y mantenerse alerta ante intentos de phishing que utilicen sus datos de salud como cebo son hábitos prácticos que reducen su exposición, independientemente de lo que haga o deje de hacer una organización en particular.

Tómese unos minutos esta semana para revisar la configuración de seguridad de cada portal de salud que utilice. El esfuerzo es pequeño en comparación con el costo de recuperarse de un robo de identidad o de la exposición de su historial de salud más privado.