• Tweet

Casi un año después de haber sido hackeado por extorsionistas informáticos, la administración de beneficios farmacéuticos de Express Scripts menciona que cientos de miles de miembros pueden haber tenido su información vulnerada por el incidente.

En noviembre pasado, la compañía informó que una persona había amenazado con denunciar a millones de registros de recetas de los clientes, pero ha sido criticado por ser vaga acerca de cómo muchos de los registros de sus clientes fueron consultados. Ahora la compañía dice que alrededor de 700 000 han sido notificados.

El problema comenzó en la compañía St. Louis en octubre de 2008, cuando recibió una carta con los nombres, fechas de nacimiento, números de Seguro Social y las recetas de 75 pacientes. Los extorsionadores amenazaban con lanzarla como información pública, si no se les pagaba. Express Scripts se negó y lo notificó a la Oficina Federal de EE.UU. de Investigaciones. La compañía está ofreciendo una recompensa de US$ 1 millón por información que conduzca a la detención de los autores.

Express Script no ha dicho cómo los delincuentes lograron apoderarse de la información, pero en un comunicado por correo electrónico mencionó que "no se han reportado casos de mal uso de información de los miembros resultantes del incidente".

En una presentación ante un tribunal, la compañía dijo que tres de sus clientes también han sido afrontados por los extorsionistas.

Toyota es una de esas empresas. En noviembre de 2008 se recibió una carta que era similar a la amenaza de octubre de Express Scripts, de extorsionistas que amenazaron en entregar información sobre los empleados de Toyota y sus dependientes.

Express Scripts administra los beneficios de farmacia para las corporaciones y agencias gubernamentales. Reportó $ 22 billones en ingresos el año pasado.

Los clientes no son las únicas personas que han sido afrontados por los delincuentes. Hace unas semanas, un bufete de abogados no identificados también recibió varios registros, según la portavoz de Express Scripts, María Palumbo. La empresa entregó los registros al FBI, que a su vez informó a Express Scripts.

"A finales de agosto de 2009, Express Scripts fue informado por el FBI de que el autor del crimen había tomado recientemente medidas para demostrar que posee más registros de miembros del mismo periodo que las identificadas en el intento de extorsión del 2008", dijo la compañía en su sitio Web. "Express Scripts se encuentra en el proceso de notificación de estos miembros".

En mayo, Washington, DC, el bufete de abogados Finkelstein Thompson presentó una demanda colectiva en contra de Express Scripts, en nombre de los miembros cuyos datos fueron robados. Los abogados de la empresa no respondieron a las solicitudes de comentarios para este artículo.

Es preocupante que Express Scripts al parecer, ha podido averiguar exactamente qué datos fueron accesados, mencionó Dissent, un profesional de la salud que administra el sitio Web Databreaches.net y utiliza un seudónimo para mantener su privacidad separada de su práctica profesional.

"Dado que aún no se puede ver realmente el alcance de este incidente y no podemos estar seguros de que el extorsionista no irrumpió en la base de datos, sería prudente notificar a todas las personas cuyos expedientes se encontraban en la base de datos", escribió en una entrevista por e-mail.

"Esta brecha no es ciertamente la mayor violación de información personal o de salud que hemos visto", dijo. "Sin embargo es una infracción muy preocupante porque las señales de que los criminales cibernéticos están reconociendo el valor de las bases de datos que contienen información de los pacientes, aun cuando no se incluye ninguna información de la tarjeta financiera o de crédito".

Por Robert McMillan