Las brechas de datos relativas a empresas e instituciones de salud no cesan. En esta ocasión las afectadas son Viamedis y Almerys, dos actores claves en la gestión de pagos de terceros para el seguro médico complementario en Francia.
La violación en esta ocasión afectaría a 33 millones de ciudadanos galos -titulares de la seguridad social- y ha despertado una gran preocupación en el país. De hecho, estaría considerado como uno de los mayores ciberataques registrados hasta el momento en la historia de Francia.
La información comprometida incluiría números de seguro social, detalles sobre el estado civil, fecha de nacimiento, nombre de la aseguradora de salud y cobertura de la póliza tanto para el asegurado como para sus familiares.
Según recoge el medio francés especializado en tecnología IT for Business, la presencia del número de la seguridad social asociado al estado civil puede permitir a los ciberdelincuentes cruzados esos detalles con los de otras filtraciones anteriores y reconstruir perfiles más completos para efectuar ataques de phising muy específicos.
Aunque los rumores iniciales así lo indicaron parece que no se ha visto involucrada información sensible, como datos bancarios, registros médicos o información de contacto, como direcciones postales o números de teléfonos. Así al menos lo han afirmado tanto Viamedis como la autoridad francesa de protección de datos (CNIL).
El ataque habría ocurrido en enero, aunque Viamedis detectó la infracción el pasado 1 de febrero, alertando de forma inmediata a otras plataformas de pagos de terceros. Poco después Almerys, otro importante operador del sector, también comunicó que se había dado una intrusión similar en sus sistemas.
En este momento los expertos invitan a los asegurados de la seguridad social a que extremen su vigilancia ante cualquier email o llamada telefónica que pueda proceder de su mutua, de la Seguridad Social o de cualquier organismo sanitario.
Ahora mismo, con decenas de millones de ciudadanos del país potencialmente expuestos, las autoridades francesas están luchando por entender el alcance de los daños e identificar a los autores del mismo.
Los sanitarios, las mayores víctimas
Sin embargo, la brecha va más allá. Los actores de amenazas pueden haber recopilado datos relativos a los profesionales sanitarios y, en algunos casos, a las empresas.
"La filtración se debió a la suplantación de la identidad de un profesional sanitario", revela Nicolas Samarcq, administrador de la AFCDP, una asociación centenaria cuyo objetivo es promover y desarrollar la reflexión sobre el estatuto y las misiones de los Delegados de Protección de Datos.. Este critica que el comunicado de la CNIIL se centra en que los datos exfiltrados de los pacientes son relativamente inofensivos, pero ignora que para los sanitarios puede haber riesgos mayores, al haberse filtrado su portal de pago, su teléfono, sus credenciales y contraseñas, etc.