La gigante farmacéutica estadounidense Cencora ha comunicado que está notificando a las personas afectadas que su información médica personal y altamente sensible fue robada durante un ciberataque y violación de datos a principios de este año.
En cartas enviadas esta semana a los individuos afectados, Cencora indicó que los datos de sus sistemas incluyen nombres de pacientes, dirección postal y fecha de nacimiento, así como información sobre su diagnóstico de salud y medicamentos.
La gigante farmacéutica dijo que inicialmente obtuvo los datos de los pacientes a través de asociaciones con los fabricantes de medicamentos con los que trabaja “en relación con sus programas de apoyo al paciente.” Esto incluye a pacientes de Abbvie, Acadia, Bayer, Novartis, Regeneron y otras compañías.
Cencora aún no ha descrito la naturaleza del ciberataque, que comenzó el 21 de febrero y no se hizo público hasta que la compañía presentó un aviso a los reguladores gubernamentales una semana después, el 27 de febrero. La compañía, conocida como AmerisourceBergen hasta 2023, maneja alrededor del 20% de los productos farmacéuticos vendidos y distribuidos en todo Estados Unidos.
El portavoz de Cencora, Mike Iorfino, dijo a TechCrunch en un correo electrónico que Cencora no estaba dispuesta a decir si la compañía ha determinado cuántas personas se ven afectadas por la violación de datos, y cuántas personas han sido notificadas hasta la fecha.
Este es el último incidente de seguridad que afecta al sector de la salud en Estados Unidos, tras una serie de ciberataques en los últimos meses, incluyendo la gran violación de datos y las interrupciones prolongadas en Change Healthcare, propiedad de UnitedHealth, y el reciente y continuo ciberataque que dejó fuera de línea gran parte de la red hospitalaria de Ascension.
El portavoz de Cencora dijo que no hay “ninguna conexión” entre el incidente en Cencora y los ciberataques en Change y Ascension.
Según las notificaciones públicas de violación de datos presentadas por Cencora a las autoridades estatales de EE.UU., que TechCrunch ha visto, Cencora ha notificado hasta ahora a unas 500,000 personas desde que supo de la violación de datos. Se espera que el número de personas afectadas por la violación de datos de Cencora sea mucho mayor. Cencora dice en su sitio web que ha atendido al menos a 18 millones de pacientes hasta la fecha.
Cencora dijo que publicó un aviso en su sitio web explicando que la compañía “no tiene información de dirección para proporcionar una notificación directa” a algunas personas afectadas por la violación de datos.
Los portavoces de los fabricantes de medicamentos afectados, Abbvie, Acadia, Bayer y Regeneron, no respondieron a una solicitud de comentario de TechCrunch.
El portavoz de Novartis, Michael Meo, confirmó que Novartis “recientemente fue informado de un incidente cibernético que involucra a las empresas de servicios al paciente Cencora y su afiliada, Innomar Strategies en Canadá, que han proporcionado servicios para Novartis,” pero declinó hacer más comentarios o decir cuántos pacientes de Novartis se ven afectados por la violación de datos. El portavoz se negó a decir si Cencora ha informado a Novartis cuántos de sus pacientes se ven afectados.
Cencora generó $262 mil millones en ingresos durante 2023, un aumento del 10% con respecto al año anterior, según sus últimos informes financieros. La compañía no dice cuánto gasta en ciberseguridad.