Caso de Filtración de Datos Dentales Afecta a Más de 9 Millones de Usuarios

Caso de Filtración de Datos Dentales

Managed Care of North America (MCNA por sus siglas en inglés) Dental, una de las aseguradoras dentales más grandes de Estados Unidos, ha anunciado que sufrió un ataque de ransomware en la que se filtraron datos de casi nueve millones personas en ese país. Este caso de filtración de datos dentales, se detectó el 6 de marzo, sin embargo, al ser revisada por los expertos se dieron cuenta que ya habían obtenido copia de una gran cantidad de información entre el 26 de febrero y el 7 de marzo de 2023*.

El peor caso de filtración de datos en el área de la salud en lo que va de año

MCNA, con sede en Atlanta, se considera la aseguradora dental más importante de Estados Unidos. Por tal razón, la información que manejan es bastante grande y abarca a casi 9 millones de personas. 

Este caso de filtración de datos dentales incluye información del padre o tutor de pacientes por lo que no sólo afecta a los pacientes. Dicha información contempla datos como los nombres, dirección, correo electrónico, licencias de conducir, número de seguro social, así como el plan, números de identificación de Medicaid y facturas.

MCNA culminó el período de revisión el 3 de mayo, sin embargo, no ha brindado información detallada sobre el ataque. A pesar de esto, se conoció que ransomware LockBit asumió el ataque y reconoció que habían publicado los archivos, una vez que la empresa se negara a pagar la recompensa.

LockBit es conocida como una pandilla de piratas cibernéticos vinculados a Rusia, que inició sus operaciones en 2019 y que ya tiene en su haber varias víctimas, entre las que se cuentan Royal Mail, una empresa postal de Reino Unido, Ion Group, una empresa de software también de Reino Unido y el Departamento de Finanzas de California.

Acciones tomadas por MCNA luego del ciberataque

Debido a que fue un ataque masivo que perjudicó a un gran número de personas, MCNA ha puesto en marcha algunas medidas para paliar la situación. Entre ellas, ofrece un año de protección gratuita sobre el robo de identidad durante un año.

Así mismo, se recomienda a los clientes afiliados a que revisen sus cuentas y facturas para detectar cualquier movimiento inusual. Esto debido a que deben proteger su imagen ya que son la aseguradora más grande de Estados Unidos que ampara a niños y personas mayores y su ámbito de acción incluye a Nueva York.

MCNA no es la única víctima del ransomware con su caso de filtración de datos dentales, por lo que ya se tiene información sobre el modus operandi de la organización delictiva. En muchos casos, las víctimas se niegan a pagar el rescate y deben lidiar con las consecuencias de esta decisión.

Por otro lado, algunas empresas e instituciones han decidido pagar y el monto asciende a millones para poder recuperar el sistema. A pesar de los intentos de las autoridades para evitar que la organización siga sus operaciones, no se prevé que cesen por el momento.

Cuando se arrestó al presunto líder de LockBit, el ruso canadiense Mikahil Vasiliev, el que fue detenido en noviembre y acusado por Estados Unidos en marzo, se pensaba que se podía evitar nuevos ataques, sin embargo, siguió operando sin ningún reparo. 

¿Cuál es el modus operandi de LockBit?

La organización LockBit no tiene ningún tipo de escrúpulos en cuanto a la elección de sus víctimas. Recientemente han asumido la responsabilidad de ataques, como el del Hospital para Niños Enfermos de Toronto, pero también tienen objetivos químicos e industriales*.

Así mismo, LockBit publicó en su sitio de extorsión en febrero de 2023, su responsabilidad sobre el ataque realizado a ION Group, junto con una nota de rescate. Ahora bien, cómo consigue este grupo criminal acceder a la información privada del Grupo.

Lamentablemente, aún no se tiene una respuesta certera, y las respuestas pueden surgir después de un estudio minucioso por parte de ION Group, donde evalúe los daños y pueda determinar cuáles herramientas utilizaron para vulnerar su sistema.

Ahora bien, se ha conocido que el grupo LockBit usa un tipo de ransomware, donde se crean algunas herramientas que sirven para infectar y comprometer a las instituciones gubernamentales, empresas y agencias gubernamentales. Antiguamente, los ransomware se basaban en cifrar datos y conseguir las claves para pedir el rescate, hoy en día ha variado en cuanto que roban datos sensibles y amenazan con su liberación para dañar a terceros.  
 

¿Cómo funciona el ransomware LockBit?

Lockbit lleva de cabeza a las empresas de ciberseguridad porque han logrado ir evolucionando en sus tácticas de ataque y cada vez se tornan más agresivos. Algunos expertos aseguran que el ransomware forma parte de la familia de malware LockerGoga y MegaCortex*. 

Los ataques de ransomware tienen un comportamiento específico que se resume en lo siguiente:

  •     Tienen la capacidad de auto distribución por lo cual no requieren administración manual para diseminarse por toda la organización.
  •     Su objetivo está bien definido, por esta razón su distribución no se dispersa.
  •     Usa herramientas similares para diseminarse como el Windows Powershell o el Server Message Block.

Pero su característica más importante es que tiene una gran capacidad de propagación, ya que la programación de Lockbit es dirigido por un proceso automatizado. Esta es la razón principal por la se diferencia de otros ciberataques de ransomware que se hacen de forma manual, en ocasiones durante varias semanas. 

Una vez que se ha infectado de forma manual en un host, LockBit es capaz de conseguir otros Hots, conectarlos con el infectado y luego propagar el virus a través de un script. Este es un proceso que se completa sin la intervención humana.

Por otro lado, se usan herramientas en patrones que son nativos en la mayoría de los sistemas informáticos de Windows, donde los sistemas de seguridad de los endpoints tienen dificultades para detectar actividades maliciosas.

Las etapas de los ataques de LockBit se pueden definir de la siguiente forma:

  •     Explotar: Generalmente se trata de actuar como phishing, donde el pirata cibernético suplanta a algún personal o autoridad para conseguir las credenciales de acceso. También se puede usar ataques de fuerza contra los servidores y los sistemas de red. Así preparan el sistema para realizar el ataque.
  •     Infiltración: Una vez que logra ingresar, comienza un proceso para ir escalando los niveles hasta poder desactivar los sistemas de seguridad y cualquier estructura que permita su recuperación.
  •     Implementación: El ransomware comienza a propagarse por cualquier computador e inicia el ataque para lograr el objetivo.

Seguramente es el mismo caso de filtración de datos dentales, que sucedió con MCNA, donde fueron vulnerados los datos personales de alrededor de 8. 9 millones de pacientes.

El robo de datos a través de estas filtraciones generales es un problema que va en aumento en la era digital. Afortunadamente, usted también cuenta con los abogados de Morgan & Morgan para este tipo de casos. Lo invitamos a completar nuestro formulario en línea para una evaluación gratuita de su caso. Estamos dispuestos a luchar por sus derechos en todo caso que sea posible.

La justicia es derecho de todos. 

*Enlaces disponibles en inglés. 

Facebook comments