CareCloud, una empresa estadounidense de tecnología sanitaria que ofrece sistemas de historiales electrónicos y servicios de facturación, ha revelado un incidente de ciberseguridad que implica acceso no autorizado a uno de sus entornos que almacena datos de pacientes, según un documento presentado ante la Comisión de Bolsa y Valores de EE. UU.
La empresa informó que el incidente ocurrió el 16 de marzo, cuando un actor amenazante obtuvo acceso a un único entorno de historial clínico electrónico por un periodo limitado. El sistema afectado es uno de los seis entornos operados por CareCloud, y la empresa afirmó que los sistemas restantes no se vieron afectados.
CareCloud afirmó que el acceso no autorizado duró varias horas antes de ser identificado y contenido. La empresa informó que restauró el entorno afectado ese mismo día y cree que el atacante ya no tiene acceso a sus sistemas.
Según la empresa, el entorno comprometido contiene historiales médicos electrónicos utilizados por los proveedores sanitarios. Estos sistemas suelen almacenar información sensible de los pacientes, incluyendo historiales médicos, registros de tratamientos y datos de facturación. La empresa indicó que sigue evaluando si se accedió o eliminó algún dato durante el incidente y no ha confirmado el alcance de la exposición.
CareCloud informó que notificó a las autoridades policiales y a su proveedor de seguros cibernéticos tras el descubrimiento del incidente. La empresa también contrató especialistas externos en ciberseguridad para realizar una investigación forense y ayudar a proteger sus sistemas.
La empresa describió el incidente como material debido a la sensibilidad de los datos almacenados en el entorno afectado y a los riesgos potenciales asociados con el acceso no autorizado. Al mismo tiempo, CareCloud afirmó que la brecha no ha tenido un impacto material en sus operaciones ni en su situación financiera hasta ahora.
CareCloud proporciona software y servicios a más de 45.000 proveedores sanitarios, incluyendo plataformas de historiales electrónicos y herramientas de gestión del ciclo de ingresos. La empresa ha declarado que continúa investigando el incidente y que proporcionará actualizaciones a medida que haya más información disponible.