Los datos médicos y personales de pacientes de Innomar Strategies, una importante empresa farmacéutica canadiense, fueron robados tras una intrusión en el sistema informático de la empresa matriz. Las posibles víctimas entrevistadas por La Presse no sabían que esta empresa tenía acceso a esta información sensible.
“Ya me robaron mi información con la filtración de Desjardins y ahora me entero de que es la información de mi expediente médico la que me habrían robado de una empresa que ni siquiera conozco”, dice un paciente que no quiere ser nombrado, por temor a romper el vínculo de confianza con su médico.
Desde que le diagnosticaron cáncer hace unos años, el hombre se ha sometido a una batería de tratamientos y ha participado en varios estudios.
La empresa en cuestión es Innomar Strategies. Esta filial canadiense de Cencora, un gigante estadounidense de distribución de medicamentos que hasta el año pasado se llamaba AmerisourceBergen, gestiona decenas de programas de apoyo al paciente (PSP).
Los PSP son programas que operan fuera de la red de salud pública y monitorean el uso de costosos medicamentos especializados que tratan enfermedades complejas. Para que un paciente pueda participar, el médico suele pedirle que firme un formulario de consentimiento.
A principios de esta semana, Innomar envió una carta a los pacientes en la que explicaba que había observado que “se extrajeron datos” de los sistemas informáticos de la empresa matriz el 21 de febrero de 2024. Afirmó haber tomado medidas de control e investigado “con la ayuda de fuerzas policiales, expertos en ciberseguridad y abogados externos”.
El resultado: en abril, la empresa concluyó que la inteligencia “se había visto afectada por el incidente”. Pasaron casi dos meses antes de que Innomar se comunicara con sus pacientes.
La misiva dice: “Según nuestra investigación, la información personal, incluida su información personal de salud, se vio afectada, incluida posiblemente […] la ubicación de los servicios que recibió, su diagnóstico/condición médica, sus medicamentos/recetas, su número de registro médico , sus números de paciente, su número de seguro médico, su firma, sus resultados de laboratorio y su historial médico. »
“No hay nada tranquilizador en ello”, confiesa una paciente que no quiere ser identificada para no perjudicar al médico que la hizo firmar el formulario para inscribirla en un programa de tratamiento. Recibe dosis para combatir una enfermedad de la piel. “Realmente me pregunto qué información médica tienen y qué puede hacer alguien con mi información. »
Y añade: “Es una sensación extraña porque me molesta más que si fuera información financiera. Según tengo entendido, tienen acceso a mis análisis de sangre, a mis diagnósticos… Esta es una información a la que sólo mi médico y yo deberíamos tener acceso. Ni siquiera sabía que la empresa tenía acceso a esta información. »
El director de relaciones públicas de Cencora, Mike Iorfino, envió un correo electrónico a La Presse en el que esencialmente resume lo que se detalla en la carta enviada a los pacientes. Como resultado, fue imposible saber el número de pacientes canadienses cuyos datos estuvieron potencialmente expuestos.
Agrega que «no hay evidencia de que la información haya sido divulgada públicamente o utilizada indebidamente con fines fraudulentos» y asegura que Cencora e Innomar brindan a los pacientes acceso a recursos «para ayudarlos a proteger su información».
Innomar, un importante actor canadiense en la industria farmacéutica, gestiona docenas de programas de atención al paciente financiados por fabricantes de medicamentos como Abbvie, Bristol-Myers, Pfizer, Sandoz, Sanofi y Takeda. La empresa también posee cientos de clínicas de infusión y farmacias en todo el país.
Steve Waterhouse, especialista en ciberseguridad y profesor de la Universidad de Sherbrooke, no se muestra sorprendido por este suceso.
“Alguien añade información de otra índole que puede cruzar con la que proviene de filtraciones de Desjardins, Capital One, Bell, Facebook, Videotron, etc. “, especifica.
En los últimos años, varios robos o filtraciones de datos han tenido como objetivo datos médicos, subraya. Cita el ejemplo reciente del robo de datos personales de pacientes de cinco hospitales de Ontario tras un ataque dirigido a Transform, la organización que gestiona los servicios de TI de estas instituciones.
