Un servicio digital de gestión de medicamentos de Nueva Zelanda, MediMap, fue retirado del servicio tras una intrusión no autorizada que alteró los registros de pacientes. La empresa afirmó haber detectado la brecha y puesto su sistema en modo de mantenimiento mientras investiga y trabaja para restaurar la integridad de los datos.
MediMap es utilizado por proveedores sanitarios, centros de atención a personas mayores, hospicios y farmacias en toda Nueva Zelanda para gestionar recetas y antecedentes de medicación. Tras el incidente, algunos registros de pacientes fueron modificados sin autorización. Según los informes citados por la empresa y las autoridades sanitarias, ciertas entradas fueron modificadas por nombres, fechas de nacimiento y datos del prescriptor incorrectos. En algunos casos, los pacientes fueron marcados erróneamente como fallecidos.
Entre los registros alterados había entradas que renombraban a los pacientes como Charlie Kirk, un comentarista político conservador estadounidense que fue asesinado el año pasado. La presencia del nombre en varios registros llamó la atención sobre la brecha e indicó que los cambios fueron deliberados y no accidentales. Las autoridades no especificaron cuántos registros se vieron afectados por la alteración del nombre.
Health New Zealand confirmó que estaba colaborando con MediMap y apoyando la respuesta a lo que describió como un incidente de ciberseguridad. También se notificó a la Policía de Nueva Zelanda y a las agencias nacionales de respuesta cibernética. Las autoridades señalaron que la prioridad era verificar la exactitud de la información de los pacientes y asegurarse de que no se tomaran decisiones médicas incorrectas basadas en datos alterados.
Mientras el sistema estaba fuera de servicio, los proveedores sanitarios volvieron a los procesos manuales de prescripción y registro de registros. Algunos centros informaron de interrupciones operativas, ya que el personal dependía de sistemas en papel para mantener la continuidad de la atención.
MediMap dijo que está llevando a cabo una investigación completa para determinar cómo ocurrió la intrusión y si se accedió o exfiltró algún dato personal. En el momento del informe, la empresa no había confirmado que los datos se hubieran eliminado de sus sistemas, afirmando que la revisión seguía en curso. Se esperan más actualizaciones una vez finalizado el análisis forense.