Salud

Ciberataque a Sanitas: Supersalud reveló que se vulneraron datos personales de más de 240.000 usuarios

El ente de vigilancia advirtió que los afiliados a esa EPS aún están presentando dificultades para acceder a los servicios de salud.

26 de enero de 2023
Ciberataque a Sanitas
La Superintendencia de Salud advierte que los usuarios todavía están teniendo problemas para acceder a sus servicios. | Foto: Sanitas y Superintendencia de Salud

La Superintendencia Nacional de Salud acaba de compartir un comunicado público en el cual reveló lo que ha encontrado durante el seguimiento al ciberataque que sufrió la EPS Sanitas a finales de noviembre del año pasado.

El ente de vigilancia sanitaria advirtió que durante este mes y medio ha adelantado una serie de auditorías y revisiones a los reportes que ha hecho la EPS. Para empezar, advirtieron que aunque han pasado 45 días desde que se reportaron las primeras novedades informáticas, los afiliados siguen teniendo dificultades para acceder a los servicios de salud.

Uno de los datos claves que arrojó la Superintendencia de Salud es que la magnitud de la vulneración de los datos personales de los afiliados aún no se ha determinado, pese a que las directivas del grupo Keralty, que agrupa a Sanitas y Colsanitas, señalaron en el pasado que los atacantes habían afectado cerca de 0,7 teras de información.

“La Superintendencia ha recibido respuesta a los requerimientos formulados a la EPS, se han analizado los informes diarios reportados desde el 1 de diciembre de 2022, ha concedido plazos para el cargue de reporte y ha vigilado el comportamiento de las peticiones, quejas, reclamos y denuncias (PQRD) recibidas durante el tiempo de contingencia, entre otras acciones”, indicó el ente de vigilancia y control.

También advirtieron que hasta el pasado 13 de enero identificaron que aún se presentaba “incertidumbre” con respecto a la superación de los fallos de ciberseguridad.

Aunque la EPS Sanitas anunció a mediados de este mes que los servicios de su oficina virtual se habían restablecido, la Superintendencia de Salud encontró que aún presentaban dificultades para garantizarlos.

“Frente al anunciado restablecimiento de la oficina virtual para la auto gestión de los afiliados, se evidenció que aún persisten debilidades en el proceso de estabilización que incrementan el uso del canal presencial, derivando en esperas que afectan la satisfacción del usuario con el servicio prestado por parte de la EPS Sanitas y, por ende, la garantía efectiva del derecho fundamental a la salud”, indicó la Superintendencia de Salud.

Señalaron que si bien la EPS reportó que las historias clínicas, el chatbot y su portal zona pública estaban de nuevo en línea, encontraron que las interfaces no estaban garantizando la interoperabilidad completamente.

El ciberataque fue reconocido por la empresa Keralty a finales de noviembre pasado.
El ciberataque ha causado demoras en la atención de los pacientes. | Foto: Twitter: @hyperconectado y @Aprofac

En esa medida, señalaron que esto ha causado “retrasos, esperas y reprocesos que afectan las acciones de gestión de riesgo en salud y financiero, como responsabilidades indelegables del aseguramiento en salud”.

“El denominado plan de recuperación consistente en el restablecimiento de la interoperabilidad de los módulos de atención -bien sea sobre las plataformas informáticas vulneradas o alguna solución alterna- por el momento presenta un nivel de incertidumbre que no permite comprometer y cumplir cronogramas ciertos para su operación habitual”, indicó la Superintendencia de Salud en su informe.

Los datos de más de 240.000 personas quedaron expuestos

Captura de pantalla del blog de Camilo García
Entre los documentos filtrados por los hackers se han conocido cédulas de ciudadanía. | Foto: Captura de pantalla del blog de Camilo García

Lo que la Superintendencia de Salud sí encontró es que la información personal de cientos de miles de usuarios resultó afectada durante el potente ciberataque.

“Las investigaciones adelantadas por la propia EPS han confirmado la vulneración de información personal de 241.589 usuarios, situación que requiere que Sanitas informe de manera oportuna, veraz y completa a cada uno de los afectados por esta situación específica”, señaló el ente.

Y advirtieron que la EPS Sanitas ha negado que las historias clínicas hayan quedado expuestas, pese a que los ciberdelincuentes sí obtuvieron grandes volúmenes de datos.

Asimismo, indicaron que la contingencia informática repercutió en la cantidad de reclamaciones de los usuarios. Solo en diciembre pasado, la Superintendencia de Salud recibió 12.934 peticiones, quejas, reclamos y denuncias.

Estos trámites se dispararon en un 128,6 % con respecto a los registros del mismo período de 2021, lo cual también se reflejó en la tasa de quejas por cada 10.000 afiliados que fue de 20,8 %.

“Cabe destacar que en el balance de las PQRD radicadas en la Supersalud contra las administradoras de recursos de la salud, Sanitas se ubica como la segunda EPS con mayor cantidad de manifestaciones de insatisfacción de sus afiliados durante todo el año 2022, con un total de 135.874 quejas”, anotó la Superintendencia de Salud.

Ciberataque a Sanitas.
Los hackers de Ransomhouse anunciaron esta semana que publicarán más datos del grupo Keralty el próximo 31 de enero. | Foto: Redes sociales

Debido a la difícil situación que se ha reportado con la EPS Sanitas, el ente concluyó el comunicado pidiéndoles a los demás actores del sistema de salud que prestan servicios esenciales “mantener actualizado el sistema de administración de riesgos desde la prevención hasta el restablecimiento efectivo y completo de la operación”.

Señalaron que después de que se registró el ciberataque a Sanitas, ha sido clave reaccionar al incremento en la demanda de servicios asistenciales y administrativos por parte de los pacientes.

La Superintendencia exhorta a la EPS a la estabilización de la operación asistencial y administrativa con la prioridad que requiere un servicio público esencial y la garantía de la seguridad del proceso de normalización en la prestación de los servicios, presentando a la opinión pública el avance objetivo -con indicadores de cobertura y de impacto- del cumplimiento del plan de restablecimiento”, puntualizó el ente.

Y concluyó señalando que ya terminó una auditoría de campo que estaba adelantando. El análisis de los hallazgos que encontró se está adelantando en la actualidad y señaló que, en esa medida, determinará si debe emprender acciones para proteger a los pacientes.