Grupo de Diagnóstico por Imagen notifica filtración de datos que afecta a 171.000 personas tras un año de espera

Introducción

En un nuevo caso que pone en entredicho los protocolos de gestión de incidentes en el sector sanitario, Doctors Imaging Group, una organización estadounidense dedicada a servicios de diagnóstico por imagen, ha comunicado a sus clientes una brecha de seguridad con casi un año de retraso desde su detección original. El incidente ha comprometido la información personal y médica de aproximadamente 171.000 personas, lo que reaviva el debate sobre la diligencia en la notificación de incidentes, el cumplimiento normativo y la protección de datos sensibles en el ámbito sanitario.

Contexto del Incidente o Vulnerabilidad

Según la información proporcionada por la propia organización y publicada por SecurityWeek, el incidente se remonta a mediados de 2023, si bien la notificación a los afectados y a las autoridades pertinentes no se ha realizado hasta casi un año después. Doctors Imaging Group detectó actividades sospechosas en sus sistemas internos, que posteriormente se confirmaron como una intrusión no autorizada a gran escala.

La demora en la notificación contradice las mejores prácticas de ciberseguridad y los requerimientos legales de notificación rápida, tanto en la normativa estadounidense (HIPAA) como en la europea (GDPR), donde se exige informar a las autoridades competentes y a los afectados en plazos máximos de 72 horas desde la constatación de la brecha.

Detalles Técnicos

Aunque Doctors Imaging Group no ha divulgado públicamente todos los detalles técnicos del incidente, fuentes cercanas al caso y análisis de incidentes similares apuntan a vectores de ataque comunes en el ámbito sanitario, como la explotación de vulnerabilidades en sistemas legacy o la utilización de credenciales comprometidas mediante ataques de phishing o fuerza bruta.

No se ha especificado un CVE concreto, pero investigaciones previas en el sector muestran que las plataformas PACS (Picture Archiving and Communication System) y sistemas de gestión hospitalaria son objetivos frecuentes, con vulnerabilidades como CVE-2022-22765 o CVE-2022-24086, explotables vía RCE (Remote Code Execution) y escalada de privilegios.

En cuanto a las Tácticas, Técnicas y Procedimientos (TTPs) vinculados al framework MITRE ATT&CK, es probable que el incidente haya involucrado técnicas como Spearphishing Attachment (T1566.001), Valid Accounts (T1078), y Exfiltration Over Web Service (T1567.002), junto con movimientos laterales a través de Remote Services (T1021).

No se han comunicado indicadores de compromiso (IoC) detallados, lo que dificulta la detección proactiva en otras organizaciones potencialmente afectadas por actores de amenazas con TTPs similares. Tampoco se ha confirmado el uso de herramientas de explotación reconocidas como Metasploit o Cobalt Strike, aunque estos frameworks son habituales en campañas dirigidas contra el sector sanitario.

Impacto y Riesgos

El alcance del incidente es significativo, con datos personales y médicos de 171.000 pacientes comprometidos. Entre la información expuesta se encuentra el nombre completo, fecha de nacimiento, datos de contacto, historial médico y resultados de pruebas diagnósticas. Este tipo de datos es altamente valorado en mercados negros y foros de cibercrimen, donde puede ser utilizado en campañas de fraude, robo de identidad o ingeniería social dirigida.

La filtración expone a la organización a sanciones regulatorias relevantes tanto en el ámbito estadounidense (OCR y multas por HIPAA) como internacional, especialmente en el caso de pacientes europeos bajo el marco GDPR, que contempla multas de hasta el 4% de la facturación anual global.

Medidas de Mitigación y Recomendaciones

Tras la detección del incidente, Doctors Imaging Group afirma haber iniciado auditorías forenses y revisado sus políticas de ciberseguridad. Entre las medidas recomendadas para el sector destacan:

– Segmentación de redes y actualización de sistemas legacy.
– Revisión y fortalecimiento de políticas de gestión de accesos y autenticación multifactor (MFA).
– Monitorización y correlación de logs en tiempo real mediante soluciones SIEM.
– Pruebas periódicas de pentesting y simulaciones de ataques (Red Team).
– Formación de concienciación para empleados ante ataques de phishing.
– Implementación de sistemas DLP (Data Loss Prevention) y cifrado de datos en reposo y tránsito.
– Desarrollo de planes de respuesta a incidentes alineados con la normativa NIS2 y GDPR.

Opinión de Expertos

Expertos en ciberseguridad del sector sanitario, como John Riggi (American Hospital Association), han criticado la demora en la notificación, recordando que la rapidez es esencial para mitigar el impacto y reducir la exposición de los afectados. Asimismo, analistas de threat intelligence advierten del aumento de ataques dirigidos contra hospitales y clínicas, motivados por el alto valor de los datos médicos y la habitual carencia de recursos en ciberdefensa.

Implicaciones para Empresas y Usuarios

El caso subraya la necesidad de reforzar las medidas de protección en organizaciones sanitarias, tradicionalmente rezagadas en inversión en ciberseguridad respecto a otros sectores críticos. Las empresas deben priorizar la protección de datos personales y cumplir escrupulosamente los marcos regulatorios, mientras que los usuarios deben estar atentos ante posibles campañas de phishing o fraude derivadas de la exposición de sus datos.

Conclusiones

La brecha de seguridad en Doctors Imaging Group pone de manifiesto las carencias persistentes en la gestión de incidentes y protección de datos en el sector sanitario. La demora en la notificación agrava el impacto potencial, tanto para los afectados como para la reputación de la organización. Es imprescindible que las entidades refuercen sus estrategias de ciberseguridad y respuesta a incidentes, alineándose con las mejores prácticas y los requerimientos legales para evitar consecuencias legales y daños irreparables a la confianza de los pacientes.

(Fuente: www.securityweek.com)