Una empresa de cobros médicos se declara en quiebra tras la filtración de datos sanitarios

AMCA paga el precio final por no proteger los datos privados de sus clientes corporativos

Personal de Mitratech
Personal de Mitratech Junio 20, 2019 4 min leer

American Medical Collection Agency (AMCA), empresa estadounidense de cobro de deudas médicas y proveedora de grandes organizaciones sanitarias, ha solicitado la protección por quiebra a raíz de una filtración masiva de datos que afectó a clientes de Quest Diagnostics, LabCorp y otras instituciones sanitarias. Los datos expuestos incluían información sobre pruebas médicas, números de la seguridad social y otra información personal relacionada.

Las empresas sanitarias que buscan reducir costes y seguir el ritmo del mundo digitalizado actual subcontratan muchas funciones empresariales a terceros. Este fue el caso de AMCA. Gigantes de la industria de la salud, a saber, Quest Diagnostics y LabCorp, contrataron a AMCA para la facturación y cobranza médica y, como tal, aumentaron su superficie de ataque para los ciberdelincuentes. En algún momento entre el 1 de agosto de 2018 y el 30 de marzo de 2019, los hackers irrumpieron en AMCA y robaron más de 20 millones de registros de pacientes. Los funcionarios de AMCA admitieron el incidente de seguridad y, naturalmente, Quest, LabCorp y otros proveedores rompieron todos los lazos con el proveedor.

Sí, las infracciones tienen consecuencias

Además de perder clientes importantes, AMCA pasó meses intentando rectificar la situación, mantener su reputación y gestionar sus finanzas. Pero, al final, todo fue demasiado. Bloomberg informa de que la filtración de datos creó una "cascada de acontecimientos", que ocasionaron "enormes gastos que superaron la capacidad de carga del deudor."

¿Demasiado poco, demasiado tarde?

Vale, ya sabemos el precio que ha pagado AMCA, pero ¿qué pasa con Quest Diagnostics y LabCorp? ¿Tienen estas empresas algo de culpa? Una cosa es segura: el hecho de externalizar funciones críticas a un tercero no significa que se externalice el riesgo. Es suyo. Debe gestionarlo. Y si no lo hace, prepárese para demandas colectivas, daños a la reputación y la marca, y pérdidas financieras.

Las empresas que deseen entablar relaciones comerciales con terceros deben tener en cuenta lo siguiente:

  • ¿Qué lecciones se han extraído de esta infracción?
  • ¿Les ha enseñado los riesgos que plantean los proveedores externos y los socios comerciales?
  • ¿Podrían evitarse futuros ciberataques y, en caso afirmativo, cómo?

Adoptar un programa de gestión de riesgos de terceros

Empresas como Quest Diagnostics y LabCorp necesitan un enfoque integral para gestionar el riesgo de terceros. Una visión general de alto nivel del ciclo de vida de la gestión de riesgos de terceros (TPRM) incluye la planificación adecuada, la diligencia debida en la evaluación, la negociación de contratos, la supervisión continua y la rescisión.

La plataforma Prevalent, que se ofrece con la sencillez de la nube, integra una potente combinación de evaluaciones automatizadas, supervisión continua e intercambio de pruebas para la colaboración entre empresas y proveedores, así como una completa visión interna y externa de sus proveedores.

  • Evaluación de riesgos: Un enfoque "de dentro afuera" que ayuda a determinar el cumplimiento por parte de los proveedores de los controles de seguridad informática y los requisitos de privacidad de datos. Los resultados y la gestión de las medidas correctoras entre un subcontratista y sus terceros garantizan que los controles requeridos se mantengan alineados con el apetito de riesgo y los niveles de tolerancia de la propia empresa.
  • Control continuo: Un enfoque externo que proporciona información inmediata para reducir las superficies de riesgo en todo el ecosistema de proveedores. La exploración nativa de vulnerabilidades con múltiples fuentes externas de información sobre ciberamenazas y la supervisión de los riesgos empresariales para la información operativa, de marca, normativa, legal y financiera garantizan que se vaya más allá de la salud táctica del proveedor y se obtenga la visión empresarial estratégica que impulsa el riesgo general de la seguridad de la información de un proveedor.
  • Redes de intercambio de pruebas: Un enfoque colaborativo que aprovecha un repositorio de cuestionarios de proveedores previamente cumplimentados para ahorrar tiempo y recursos. La puesta en común permite un enfoque colaborativo, escalable y rentable de la reducción de riesgos entre subcontratistas y terceros.

Es difícil afirmar que la existencia de un programa, procesos y soluciones hubiera impedido estas filtraciones. Pero con un programa TPRM maduro, estas empresas habrían tenido visibilidad de los posibles fallos de control que podrían haber provocado las brechas.

Prevalent ofrece la solución más completa para un programa de riesgos de terceros eficaz y de alto funcionamiento. Para obtener más información sobre Prevalent, póngase en contacto con nosotros para una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.

American Medical Collection Agency (AMCA), empresa estadounidense de cobro de deudas médicas y proveedora de grandes organizaciones sanitarias, ha solicitado la protección por quiebra a raíz de una filtración masiva de datos que afectó a clientes de Quest Diagnostics, LabCorp y otras instituciones sanitarias. Los datos expuestos incluían información sobre pruebas médicas, números de la seguridad social y otra información personal relacionada.

Las empresas sanitarias que buscan reducir costes y seguir el ritmo del mundo digitalizado actual subcontratan muchas funciones empresariales a terceros. Este fue el caso de AMCA. Gigantes de la industria de la salud, a saber, Quest Diagnostics y LabCorp, contrataron a AMCA para la facturación y cobranza médica y, como tal, aumentaron su superficie de ataque para los ciberdelincuentes. En algún momento entre el 1 de agosto de 2018 y el 30 de marzo de 2019, los hackers irrumpieron en AMCA y robaron más de 20 millones de registros de pacientes. Los funcionarios de AMCA admitieron el incidente de seguridad y, naturalmente, Quest, LabCorp y otros proveedores rompieron todos los lazos con el proveedor.

Sí, las infracciones tienen consecuencias

Además de perder clientes importantes, AMCA pasó meses intentando rectificar la situación, mantener su reputación y gestionar sus finanzas. Pero, al final, todo fue demasiado. Bloomberg informa de que la filtración de datos creó una "cascada de acontecimientos", que ocasionaron "enormes gastos que superaron la capacidad de carga del deudor."

¿Demasiado poco, demasiado tarde?

Vale, ya sabemos el precio que ha pagado AMCA, pero ¿qué pasa con Quest Diagnostics y LabCorp? ¿Tienen estas empresas algo de culpa? Una cosa es segura: el hecho de externalizar funciones críticas a un tercero no significa que se externalice el riesgo. Es suyo. Debe gestionarlo. Y si no lo hace, prepárese para demandas colectivas, daños a la reputación y la marca, y pérdidas financieras.

Las empresas que deseen entablar relaciones comerciales con terceros deben tener en cuenta lo siguiente:

  • ¿Qué lecciones se han extraído de esta infracción?
  • ¿Les ha enseñado los riesgos que plantean los proveedores externos y los socios comerciales?
  • ¿Podrían evitarse futuros ciberataques y, en caso afirmativo, cómo?

Adoptar un programa de gestión de riesgos de terceros

Empresas como Quest Diagnostics y LabCorp necesitan un enfoque integral para gestionar el riesgo de terceros. Una visión general de alto nivel del ciclo de vida de la gestión de riesgos de terceros (TPRM) incluye la planificación adecuada, la diligencia debida en la evaluación, la negociación de contratos, la supervisión continua y la rescisión.

La plataforma Prevalent, que se ofrece con la sencillez de la nube, integra una potente combinación de evaluaciones automatizadas, supervisión continua e intercambio de pruebas para la colaboración entre empresas y proveedores, así como una completa visión interna y externa de sus proveedores.

  • Evaluación de riesgos: Un enfoque "de dentro afuera" que ayuda a determinar el cumplimiento por parte de los proveedores de los controles de seguridad informática y los requisitos de privacidad de datos. Los resultados y la gestión de las medidas correctoras entre un subcontratista y sus terceros garantizan que los controles requeridos se mantengan alineados con el apetito de riesgo y los niveles de tolerancia de la propia empresa.
  • Control continuo: Un enfoque externo que proporciona información inmediata para reducir las superficies de riesgo en todo el ecosistema de proveedores. La exploración nativa de vulnerabilidades con múltiples fuentes externas de información sobre ciberamenazas y la supervisión de los riesgos empresariales para la información operativa, de marca, normativa, legal y financiera garantizan que se vaya más allá de la salud táctica del proveedor y se obtenga la visión empresarial estratégica que impulsa el riesgo general de la seguridad de la información de un proveedor.
  • Redes de intercambio de pruebas: Un enfoque colaborativo que aprovecha un repositorio de cuestionarios de proveedores previamente cumplimentados para ahorrar tiempo y recursos. La puesta en común permite un enfoque colaborativo, escalable y rentable de la reducción de riesgos entre subcontratistas y terceros.

Es difícil afirmar que la existencia de un programa, procesos y soluciones hubiera impedido estas filtraciones. Pero con un programa TPRM maduro, estas empresas habrían tenido visibilidad de los posibles fallos de control que podrían haber provocado las brechas.

Prevalent ofrece la solución más completa para un programa de riesgos de terceros eficaz y de alto funcionamiento. Para obtener más información sobre Prevalent, póngase en contacto con nosotros para una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.