Filtrados los datos de 33 millones de pacientes franceses

Las brechas de datos relativas a empresas e instituciones de salud no cesan. En esta ocasión las afectadas son Viamedis y Almerys, dos actores claves en la gestión de pagos de terceros para el seguro médico complementario en Francia.  La violación en esta ocasión afectaría a 33 millones de ciudadanos galos -titulares de la seguridad social- y ha despertado una gran preocupación en el país. De hecho, estaría considerado como uno de los mayores ciberataques registrados hasta el momento en la historia de Francia.

 

 

 

Viamedis y Almerys han sufrido un ciberataque que ya se considera uno de los mayores de la historia de Francia

 Los datos de más de 33 millones de personas en Francia, aproximadamente la mitad de la población, se vieron comprometidos en un ciberataque a finales de enero, según el organismo de control de la privacidad del país.

La información comprometida incluiría números de seguro social, detalles sobre el estado civil, fecha de nacimiento, nombre de la aseguradora de salud y cobertura de la póliza tanto para el asegurado como para sus familiares. 

Según recoge el medio francés especializado en tecnología IT for Business, la presencia del número de la seguridad social asociado al estado civil puede permitir a los ciberdelincuentes cruzados esos detalles con los de otras filtraciones anteriores y reconstruir perfiles más completos para efectuar ataques de phising muy específicos

Aunque los rumores iniciales así lo indicaron parece que no se ha visto involucrada información sensible, como datos bancarios, registros médicos o información de contacto, como direcciones postales o números de teléfonos. Así al menos lo han afirmado tanto Viamedis como la autoridad francesa de protección de datos (CNIL). 

El ataque habría ocurrido en enero, aunque Viamedis detectó la infracción el pasado 1 de febrero, alertando de forma inmediata a otras plataformas de pagos de terceros. Poco después Almerys, otro importante operador del sector, también comunicó que se había dado una intrusión similar en sus sistemas. 

En este momento los expertos invitan a los asegurados de la seguridad social a que extremen su vigilancia ante cualquier email o llamada telefónica que pueda proceder de su mutua, de la Seguridad Social o de cualquier organismo sanitario. 

Ahora mismo, con decenas de millones de ciudadanos del país potencialmente expuestos, las autoridades francesas están luchando por entender el alcance de los daños e identificar a los autores del mismo. 

Según la CNIL, las compañías de seguros médicos son las responsables directas de informar a los afectados, pero se insta a la población a ser precavida ante posibles intentos de suplantación de identidad con la intención de estafarles.

La CNIL advirtió de que, aunque los datos de contacto de los asegurados no se vieron afectados por la violación, "es posible que los datos violados se combinen con otra información de violaciones de datos anteriores" para llevar a cabo nuevos delitos.

La agencia de protección de datos dijo que, dada la magnitud del incidente, "decidió llevar a cabo investigaciones muy rápidamente para determinar, en particular, si las medidas de seguridad aplicadas antes del incidente y como reacción al mismo eran adecuadas con respecto a las obligaciones del GDPR."

Si se descubre que las empresas no han implantado las protecciones de ciberseguridad que exige el Reglamento General de Protección de Datos (RGPD) de la UE, podrían ser multadas con hasta 20 millones de euros o el 4% de su facturación global, la cantidad que sea más alta.

Los sanitarios, las mayores víctimas

Sin embargo, la brecha va más allá. Los actores de amenazas pueden haber recopilado datos relativos a los profesionales sanitarios y, en algunos casos, a las empresas. 

"La filtración se debió a la suplantación de la identidad de un profesional sanitario", revela Nicolas Samarcq, administrador de la AFCDP, una asociación centenaria cuyo objetivo es promover y desarrollar la reflexión sobre el estatuto y las misiones de los Delegados de Protección de Datos.. Este critica que el comunicado de la CNIIL se centra en que los datos exfiltrados de los pacientes son relativamente inofensivos, pero ignora que para los sanitarios puede haber riesgos mayores, al haberse filtrado su portal de pago, su teléfono, sus credenciales y contraseñas, etc.

 

Fuentes:

https://www.escudodigital.com/ciberseguridad/datos-33-millones-pacientes-franceses-brecha_58041_102.html

https://therecord.media/health-insurance-data-breach-affects-half-of-france-cnil

https://www.cnil.fr/fr/violation-de-donnees-de-deux-operateurs-de-tiers-payant-la-cnil-ouvre-une-enquete-et-rappelle-aux