En febrero de 2024, Cencora, anteriormente conocida como AmerisourceBergen, sufrió un ciberataque que resultó en una significativa brecha de datos. Este incidente ha afectado a algunas de las mayores compañías farmacéuticas del mundo, exponiendo información sensible de pacientes en Estados Unidos. A continuación, se detallan los pormenores del ataque y sus repercusiones.
Contexto del Ataque
Cencora es una empresa de servicios farmacéuticos con sede en Pensilvania, especializada en distribución de medicamentos, farmacia especializada, consultoría y apoyo en ensayos clínicos. La compañía, que opera en 50 países y emplea a 46,000 personas, generó ingresos de $262 mil millones en 2023.
En un informe presentado a la SEC en febrero, Cencora informó que partes no autorizadas accedieron a sus sistemas de información y extrajeron datos personales. Inicialmente, la empresa no proporcionó detalles adicionales sobre el incidente ni su impacto potencial en sus clientes. Tampoco se identificó a ningún grupo de ransomware como responsable del ataque.
Revelación del Impacto
Recientemente, la Oficina del Fiscal General de California publicó varios ejemplos de notificaciones de brechas de datos enviadas por algunas de las principales firmas farmacéuticas de EE.UU., todas atribuyendo su exposición de datos al incidente de Cencora en febrero.
Entre las empresas afectadas se encuentran:
- Novartis Pharmaceuticals Corporation
- Bayer Corporation
- AbbVie Inc.
- Regeneron Pharmaceuticals, Inc.
- Genentech, Inc.
- Incyte Corporation
- Sumitomo Pharma America, Inc.
- Acadia Pharmaceuticals Inc.
Estas empresas enviaron notificaciones casi idénticas informando sobre la exposición de datos, subrayando la seriedad del incidente.
Datos Comprometidos
La investigación interna de Cencora, concluida el 10 de abril de 2024, confirmó que la información expuesta incluía nombres completos, direcciones, diagnósticos de salud, medicamentos y recetas. Hasta la fecha, no hay evidencia de que la información exfiltrada haya sido divulgada públicamente en internet o utilizada para fines fraudulentos.
Medidas de Mitigación
En respuesta al riesgo elevado para las personas afectadas, Cencora ofrece dos años de servicios gratuitos de protección de identidad y monitoreo de crédito a través de Experian, disponibles hasta el 30 de agosto de 2024.
Conclusión
La brecha de datos en Cencora subraya la creciente amenaza de ciberataques en el sector de la salud y la necesidad de robustas medidas de seguridad. Las empresas deben permanecer vigilantes y proactivas para proteger la información sensible de sus clientes.