El proveedor estadounidense de servicios de laboratorio Laboratory Services Cooperative (LSC) ha confirmado una violación de seguridad que comprometió información médica y personal de aproximadamente 1.6 millones de individuos.
LSC, una organización sin fines de lucro con sede en Seattle, brinda servicios centralizados de laboratorio a diversas entidades afiliadas, incluyendo varios centros de Planificación Familiar.
La organización desempeña un papel clave en la atención de salud reproductiva en más de 35 estados del país, gestionando datos altamente sensibles relacionados con pruebas clínicas, facturación e información personal de pacientes.
El incidente ocurrió en octubre de 2024 y fue detectado el día 27, cuando se identificó actividad sospechosa en sus sistemas.
Según el comunicado oficial, LSC actuó de inmediato contratando especialistas externos en ciberseguridad e informó a las autoridades federales pertinentes.
Información comprometida
Los datos expuestos varían por persona, pero pueden incluir:
- Identificadores personales: nombre completo, número de seguro social (SSN), pasaporte o licencia de conducir, fecha de nacimiento, entre otros.
- Información médica: resultados de laboratorio, diagnósticos, tratamientos recibidos, fechas de servicio y datos del proveedor o centro.
- Datos de seguros: tipo de plan, aseguradora, número de afiliado o grupo.
- Información financiera: datos de facturación, números bancarios o de tarjetas de pago.
Respuesta y medidas de mitigación ️
LSC aseguró que hasta la fecha, no se han encontrado indicios de que la información robada haya sido publicada o comercializada en foros de la dark web.
No obstante, la investigación continúa en curso y se ha ofrecido servicio gratuito de monitoreo de crédito e identidad médica por 12 o 24 meses, dependiendo del estado de residencia del afectado.
Para los menores sin historial crediticio ni número de seguro social, se proporcionará un sistema especializado de protección bajo el programa Defensa Menor.
Las personas potencialmente afectadas tienen hasta el 14 de julio de 2025 para inscribirse en estos servicios.
Reincidencia en centros vinculados a Planificación Familiar
Aunque Planificación Familiar no fue directamente responsable del ataque, este constituye el segundo incidente de seguridad en 2024 que afecta a pacientes que han utilizado sus servicios.
En agosto del mismo año, el grupo RansomHub lanzó un ataque de ransomware que también expuso datos sensibles.
El impacto de este nuevo incidente refuerza la creciente preocupación sobre la seguridad digital en el sector salud, especialmente en organizaciones que manejan información delicada de millones de ciudadanos.