El fabricante de medicamentos estadounidense Cencora dice que está notificando a las personas afectadas que su información médica personal y altamente confidencial fue robada durante un ataque cibernético y una violación de datos a principios de este año.
En cartas enviadas esta semana a las personas afectadas, Cencora dijo que los datos de sus sistemas incluyen los nombres de los pacientes, su dirección postal y fecha de nacimiento, así como información sobre su diagnóstico de salud y medicamentos.
El gigante farmacéutico dijo que inicialmente había obtenido datos de pacientes a través de asociaciones con otros fabricantes de medicamentos «en relación con sus programas de apoyo a los pacientes». Eso incluye pacientes de Abbvie, Acadia, Bayer, Novartis, Regeneron y otras empresas.
Cencora aún no ha descrito la naturaleza del ciberataque, que comenzó el 21 de febrero y no se hizo público hasta que la compañía presentó un aviso a los reguladores gubernamentales una semana después, el 27 de febrero. La compañía, conocida como AmerisourceBergen hasta 2023, maneja alrededor del 20% de los productos farmacéuticos vendidos y distribuidos en todo Estados Unidos.
El portavoz de Cencora, Mike Iorfino, dijo a Tecno en un correo electrónico que Cencora no estaba dispuesta a decir si la empresa ha determinado cuántas personas se ven afectadas por la infracción y a cuántas personas ha notificado la empresa hasta la fecha.
Este es el último incidente de seguridad que afecta al sector de la salud de EE. UU. luego de una serie de ataques cibernéticos en los últimos meses, luego de la enorme violación de datos y las interrupciones duraderas en Change Healthcare, propiedad de UnitedHealth, y el reciente y continuo ataque cibernético que dejó fuera de línea gran parte de la red hospitalaria de Ascension.
El portavoz de Cencora dijo que «no hay conexión» entre el incidente en Cencora y los ataques cibernéticos en Change y Ascension.
Según las notificaciones públicas de violación de datos presentadas por Cencora ante las autoridades estatales de EE. UU., que Tecno ha visto, hasta ahora Cencora ha notificado a alrededor de medio millón de personas desde que se enteró de la violación de datos. Se espera que el número de personas afectadas por la violación de datos de Cencora sea mucho mayor. Cencora dice en su sitio web que ha atendido al menos a 18 millones de pacientes hasta la fecha.
Cencora dijo que publicó un aviso en su sitio web explicando que la compañía “no tiene información de dirección para notificar directamente” a algunas personas afectadas por la violación de datos.
Los portavoces de los fabricantes de medicamentos afectados Abbvie, Acadia, Bayer y Regeneron no respondieron a una solicitud de comentarios de Tecno.
El portavoz de Novartis, Michael Meo, confirmó que Novartis «fue informado recientemente de un incidente cibernético que involucró a las empresas de servicios al paciente Cencora y su filial, Innomar Strategies en Canadá, que han brindado servicios a Novartis», pero se negó a hacer más comentarios o decir cuántos pacientes de Novartis. se ven afectados por la violación de datos. El portavoz se negó a decir si Cencora le ha dicho a Novartis cuántos de sus pacientes están afectados.
Cencora obtuvo 262 mil millones de dólares en ingresos durante 2023, un 10% más que el año anterior, según sus últimos estados financieros. La empresa no dice cuánto gasta en ciberseguridad.
Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.