Advocate Aurora Health, un importante sistema de atención médica sin fines de lucro del medio oeste, informa a los pacientes que el uso de píxeles de seguimiento en su diseño web y servicios en línea puede haber filtrado información confidencial.
El incidente de seguridad se presentó al Departamento de Salud y Servicios Humanos el 14 de octubre, según la base de datos de infracciones de la agencia que se encuentra actualmente bajo investigación. La entrada describe la infracción como una divulgación no autorizada de registros médicos electrónicos que afecta a 3 millones de personas.
La organización es solo la última de una serie de proveedores médicos en revelar que los esfuerzos para comprender mejor los comportamientos de los pacientes dejaron los datos expuestos.
Durante el verano, una investigación de The Markup encontró que 33 de los 100 mejores hospitales de EE. UU. según la clasificación de Newsweek filtraron información de programación al gigante de las redes sociales Meta a través de píxeles de seguimiento. Los píxeles, que son invisibles para los usuarios en un sitio web, se usan comúnmente para medir el tráfico en línea y el comportamiento de los visitantes, pero pueden ser particularmente reveladores si se colocan en sitios web que ofrecen servicios confidenciales, como atención médica.
Advocate Aurora Health opera 27 hospitales y más de 500 clínicas ambulatorias, según su sitio web. En un Aviso de violación de datos publicado en línea, Advocate Aurora Health explicó que los píxeles de seguimiento de la violación de Google y Meta u otras herramientas similares compartieron datos, incluida cierta información protegida del paciente, con terceros.
“Por precaución, Advocate Aurora Health ha decidido asumir que todos los pacientes con una cuenta Advocate Aurora Health MyChart (incluidos los usuarios de la aplicación LiveWell), así como los pacientes que usaron widgets de programación en las plataformas de AAH, pueden haber sido afectados”, decía una pregunta frecuente de un paciente.
Los datos potencialmente comprometidos incluían direcciones IP de pacientes, seguro o número de registro médico e información sobre citas, como su hora, proveedor y procedimiento. La defensora Aurora Health dijo que cree que “no se comprometió ningún número de seguro social, cuenta financiera, tarjeta de crédito o información de tarjeta de débito”.
La organización escribió que ha deshabilitado tales herramientas de seguimiento en sus servicios y ha “lanzado una investigación interna para comprender mejor qué información del paciente se transmitió a nuestros proveedores”.
Advocate Aurora Health estuvo anteriormente entre unos 170 proveedores de atención médica que vieron comprometida la información del paciente en una violación de seguridad cibernética del proveedor de servicios de radiación Elektra en 2021.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.