AVISO SUSTITUTO DEL SITIO WEB DE LA HIPAA
AVISO DE FILTRACIÓN DE DATOS (20 de junio de 2024; actualizado el 31 de julio de 2024 y el 8 de agosto de 2024)
Este aviso es de Change Healthcare (CHC) sobre un incidente de seguridad reciente. Change Healthcare brinda servicios a proveedores de atención médica, planes de seguro de salud y otras compañías, de las cuales las personas pueden haber recibido servicios de salud o seguro médico. Debido a que Change Healthcare trabaja como proveedor de proveedores de atención médica o de planes de seguro médico, la información personal, incluyendo la información de salud, se ha visto afectada en este incidente.
CHC publica este aviso sustituto para proporcionarles a los clientes e individuos información sobre el ciberataque delictivo en los sistemas de CHC y para compartir los recursos disponibles con las personas que creen que sus datos personales pueden verse afectados.
La revisión de la información personal potencialmente involucrada en este incidente se encuentra en sus últimas etapas. CHC proporciona este aviso ahora para ayudar a las personas a comprender lo que sucedió, hacerles saber que su información puede haberse visto afectada y darles detalles sobre las medidas que pueden tomar para proteger su privacidad, incluyendo una inscripción de dos años de servicios gratuitos de monitoreo de crédito y protección contra el robo de identidad si creen que su información puede haberse visto afectada.
Este aviso sustituto contiene la información que CHC puede proporcionar en este momento a la vez que continúa trabajando en la revisión de datos para identificar a las personas afectadas. CHC enviará cartas por escrito de forma continua a las personas afectadas de las que CHC cuenta con los datos de dirección necesarios para tal fin, incluyendo de parte de los clientes que han sido notificados y que han delegado el proceso de notificaciones a CHC. Tenga en cuenta que es posible que no tengamos los datos necesarios de las direcciones de todas las personas afectadas. Se espera que el proceso de envío comience a finales de julio a medida que CHC complete los procedimientos de garantía de calidad. La revisión de datos está en curso, y los clientes afectados con personas atribuidas serán notificados para confirmar si desean que CHC maneje las notificaciones en su nombre. Se enviaron notificaciones a los clientes afectados el 20 de junio de 2024 y el 8 de agosto de 2024.
¿Qué sucedió?
El 21 de febrero de 2024, CHC advirtió el despliegue de ransomware en su sistema informático. Una vez descubierto, CHC tomó rápidamente medidas para detener la actividad, desconectó y apagó los sistemas para evitar un mayor impacto, comenzó una investigación y se puso en contacto con las autoridades policiales. El equipo de seguridad de CHC trabajó día y noche con varios de los mejores expertos en seguridad para abordar el asunto y saber lo que sucedió. CHC no ha identificado evidencia de que este incidente se haya extendido más allá de CHC.
CHC contrató a expertos líderes en ciberseguridad y análisis de datos para ayudar en la investigación, que comenzó el 21 de febrero de 2024. El 7 de marzo de 2024, CHC pudo confirmar que, entre el 17 de febrero de 2024 y el 20 de febrero de 2024, se había producido una fuga sustancial de datos de su entorno. El 13 de marzo de 2024, CHC obtuvo un conjunto de datos de archivos extraídos que eran seguros para investigar. El 22 de abril de 2024, después del análisis, CHC confirmó públicamente que los datos afectados podrían abarcar una proporción significativa de personas en Estados Unidos.
Aunque la revisión de datos se encuentra en sus últimas etapas y es posible que se identifiquen más clientes afectados, CHC ha identificado a determinados clientes cuyos datos como miembros o pacientes estuvieron involucrados en el incidente. El 20 de junio de 2024, CHC comenzó a notificar a estos clientes de forma continua. Además, CHC ha proporcionado un enlace a este aviso sustituto de manera más general para que otros clientes puedan facilitar información a sus pacientes/miembros, incluso si no han sido identificados como afectados.
¿Qué información se vio involucrada?
Si bien CHC no puede confirmar exactamente qué datos se han visto impactados para cada una de las personas afectadas, la información involucrada puede haber incluido datos de contacto (como nombre y apellido, dirección, fecha de nacimiento, número de teléfono y correo electrónico) y uno o más de los siguientes:
- Información del seguro médico (como planes o pólizas de salud primarios, secundarios o de otro tipo, compañías de seguros, números de identificación de miembros o grupos y números de identificación de pagadores del gobierno de Medicaid-Medicare);
- Información de salud (como números de registros médicos, proveedores, diagnósticos, medicamentos, resultados de pruebas, imágenes, atención y tratamiento);
- Facturación, reclamaciones e información de pago (como números de reclamación, números de cuenta, códigos de facturación, tarjetas de pago, información financiera y bancaria, pagos realizados y saldo adeudado); y/o
- Otra información personal, como números de Seguro Social, licencias de conducción o números de identificación estatal, o números de pasaporte.
La información que puede haber estado involucrada no será la misma para cada persona afectada. Hasta la fecha, aún no hemos visto que aparezcan historias clínicas completas en la revisión de datos. Además, parte de esta información puede estar relacionada con garantes que pagaron facturas por servicios de atención médica. Un garante es la persona que pagó la factura de los servicios de atención médica.
¿Por qué ocurrió esto?
Un ciberdelincuente obtuvo acceso no autorizado al sistema informático de CHC.
¿Qué está haciendo CHC?
La privacidad y la seguridad son nuestras prioridades. Cuando CHC se enteró de la actividad, comenzó inmediatamente una investigación con el apoyo de los principales expertos en ciberseguridad y las autoridades policiales. En respuesta a este incidente, CHC tomó medidas de inmediato para apagar los sistemas y cortar la conectividad en función de evitar un mayor impacto. CHC también ha reforzado sus políticas y prácticas e implementado salvaguardas adicionales en un esfuerzo por evitar que ocurran incidentes similares en el futuro. CHC, junto con los principales expertos externos de la industria, continúa monitoreando Internet y la web oscura.
CHC también comparte este enlace del sitio web (llamado aviso sustituto) con recursos adicionales en la Guía de Referencia para cualquier persona que crea que puede verse afectada o que pueda tener preguntas. El enlace es https://www.changehealthcare.com/hipaa-substitute-notice.
¿Qué pueden hacer las personas?
Si bien CHC aún está investigando qué información personal puede haber estado involucrada, existen medidas que las personas pueden tomar para protegerse:
- Las personas que crean que su información pudo haber sido afectada por este incidente pueden inscribirse en dos años de servicios gratuitos de monitoreo de crédito y protección de identidad. CHC está pagando el costo de estos servicios durante dos años.
- Las personas deben estar atentas y monitorear regularmente la explicación de los estados de cuenta de beneficios recibidos de su plan de salud y los estados de cuenta de los proveedores de atención médica, así como los estados de cuenta bancarios y de tarjetas de crédito, informes de crédito y declaraciones de impuestos, para verificar cualquier actividad desconocida.
- Si las personas notan que algún servicio de atención médica que no recibieron aparece en una explicación de la declaración de beneficios, deben comunicarse con su plan de salud o médico.
- Si las personas notan alguna actividad sospechosa en los estados de cuenta bancarios o de tarjetas de crédito o en las declaraciones de impuestos, deben comunicarse inmediatamente con su institución financiera y/o compañía de tarjetas de crédito o agencia correspondiente.
- Si una persona cree que es víctima de un delito, puede ponerse en contacto con las autoridades policiales locales y presentar una denuncia policial.
Las personas pueden tener derechos adicionales disponibles según el estado en el que viven y deben consultar la Guía de Referencia para obtener más información.
Para obtener más información
A medida que CHC continúa trabajando con expertos líderes de la industria en el análisis de los datos involucrados en este ciberataque, las personas que puedan estar preocupadas por su información cuentan con apoyo inmediato y protecciones sólidas.
CHC lamenta cualquier inconveniente o inquietud causada por este incidente. CHC ha establecido un centro de llamadas dedicado para ofrecer recursos e información adicionales a las personas que creen que pueden haber sido afectadas por este incidente. Las personas pueden visitar changecybersupport.com para obtener más información y detalles sobre estos recursos o comunicarse con el centro de llamadas gratuito, que también incluye médicos capacitados para brindar servicios de apoyo. El número del centro de llamadas es: 1-866-262-5342, disponible de lunes a viernes, de 8:00 a. m. a 8:00 p. m., Hora central.
##
GUÍA DE REFERENCIA
Revise sus estados de cuenta
Revise cuidadosamente los estados de cuenta que recibe de sus proveedores de atención médica, compañía de seguro e instituciones financieras para asegurarse de que toda la actividad de su cuenta sea válida. Informe cualquier cargo cuestionable de inmediato a la empresa con la que mantiene la cuenta.
Proporcione cualquier información personal actualizada a su proveedor de atención médica
El consultorio de su proveedor de atención médica puede solicitar ver una identificación con fotografía para verificar su identidad. Lleve una identificación con fotografía a cada cita si es posible. El consultorio de su proveedor también puede pedirle que confirme su fecha de nacimiento, dirección, teléfono y otra información pertinente para asegurarse de que toda su información esté actualizada. Asegúrese de informar al consultorio de su proveedor cuando haya algún cambio en su información. Revisar cuidadosamente esta información con el consultorio de su proveedor en cada visita puede ayudar a evitar problemas y abordarlos rápidamente en caso de alguna discrepancia.
Solicite su informe de crédito gratuito
Para solicitar su informe de crédito anual gratuito, visite www.annualcreditreport.com, llame al número gratuito (877) 322-8228, o complete el Formulario de solicitud de informe de crédito anual en el sitio web de la Comisión Federal de Comercio (FTC) en www.ftc.gov y envíelo por correo a Annual Credit Report Request Service, P.O. Box 105281, Atlanta, GA 30348-5281. Las tres agencias de crédito entregan informes crediticios anuales sin costo solo a través del sitio web, del número de teléfono gratuito o del formulario de solicitud.
Al recibir su informe de crédito, revíselo cuidadosamente. Busque cuentas que no haya abierto. Busque en la sección de “inquiries” (consultas) los nombres de los acreedores a los que no ha solicitado crédito. Algunas empresas facturan con nombres distintos al de la tienda o nombre comercial; las agencias de crédito podrán informarle si este es el caso.
Busque en la sección de “personal information” (información personal) cualquier inexactitud en la información (como su dirección postal y el número de Seguro Social).
Si ve algo que no entiende, llame a la agencia de crédito al número de teléfono que figura en el informe. Los errores pueden ser una señal de advertencia de un posible robo de identidad. Debe notificar a las agencias de crédito sobre cualquier inexactitud en su informe, ya sea por error o fraude, tan pronto como sea posible para que la información pueda ser investigada y, si se encuentra que está errónea, ser corregida. Si hay cuentas o cargos que usted no autorizó, notifique inmediatamente a la agencia de crédito correspondiente por teléfono y por escrito. La información que no se pueda explicar también debe informarse a la policía local o a la oficina del alguacil porque puede indicar alguna actividad delictiva.
Cómo inscribirse en los servicios de monitoreo de identidad y crédito de IDX
Como garantía, puede inscribirse, sin costo alguno para usted, en los servicios de monitoreo de crédito y restauración de identidad en línea proporcionados por IDX por dos años. Para inscribirse en estos servicios, llame a CHC al 1-866-262-5342 y solicite inscribirse.
Las personas deben inscribirse para que los servicios disponibles entren en vigencia, y el monitoreo incluido en la membresía debe activarse para que sea efectivo. Tenga en cuenta que es posible que los servicios de monitoreo de crédito no estén disponibles para las personas que no tienen un expediente de crédito o una dirección en los Estados Unidos (o sus territorios) y un número de Seguro Social válido. Inscribirse en este servicio no afectará su calificación crediticia. Si necesita ayuda, IDX podrá brindarle asistencia.
Le recomendamos que aproveche estas protecciones y se mantenga alerta ante incidentes de posible fraude y robo de identidad, incluida la revisión y el control regulares de sus informes de crédito y estados de cuenta.
Comuníquese con la Comisión Federal de Comercio de los EE. UU.
Si detecta transacciones no autorizadas en cualquiera de sus cuentas financieras, notifique de inmediato a la compañía de tarjetas de pago o institución financiera correspondiente. Si detecta algún incidente de robo de identidad o fraude, informe de inmediato el asunto a las autoridades policiales locales, al Fiscal General del estado y a la FTC.
Puede comunicarse con la FTC para obtener más información sobre cómo protegerse de ser víctima del robo de identidad con la información de contacto a continuación:
Comisión Federal de Comercio
Consumer Response Center
600 Pennsylvania Avenue, NW
Washington, DC 20580
1-877-IDTHEFT (438-4338)
www.ftc.gov/idtheft/
Coloque una alerta de fraude en su informe de crédito
Para protegerse de un posible robo de identidad, considere colocar una alerta de fraude en su informe de crédito. Una alerta de fraude ayuda a protegerse contra la posibilidad de que un delincuente abra nuevas cuentas de crédito a su nombre. Cuando un otorgante de crédito verifica el historial de crédito de un solicitante, recibe un aviso de que el solicitante puede ser víctima de robo de identidad. La alerta notifica al otorgante del crédito para que tome medidas y verifique la identidad del solicitante. Puede colocar una alerta de fraude en su informe de crédito llamando a cualquiera de los números gratuitos de prevención de fraude que se proporcionan a continuación. Lo atenderá un sistema telefónico automatizado que permite marcar su informe con una alerta de fraude en las tres agencias de crédito.
Equifax | P.O. Box 105069 Atlanta, Georgia 30348
| 1- 888-766-0008 | |
Experian | P.O. Box 9554 Allen, Texas 75013 | 1-888-397-3742 |
|
TransUnion |
P.O. Box 2000 Chester, PA 19016 |
1-800-680-7289 |
|
Congelamiento de seguridad
Usted tiene derecho a solicitar un congelamiento de crédito de una agencia de informes del consumidor, sin cargo, para que no sea posible abrir un nuevo crédito a su nombre sin el uso de un número PIN que se le entrega cuando inicia un congelamiento. Un congelamiento de seguridad está diseñado para evitar que posibles acreedores accedan a su informe de crédito sin su consentimiento. Si coloca un congelamiento de seguridad, los acreedores potenciales y otros terceros no podrán acceder a su informe de crédito a menos que levante temporalmente el congelamiento. En consecuencia, el uso de un congelamiento de seguridad puede retrasar su capacidad para obtener crédito.
A diferencia de una alerta de fraude, debe colocar un congelamiento de seguridad en su informe de crédito por separado en cada agencia de informes de crédito. Para colocar un congelamiento de seguridad en su informe de crédito, debe comunicarse con la agencia por teléfono, correo postal o algún medio electrónico seguro y proporcionar una identificación. Al solicitar un congelamiento de seguridad se debe incluir la siguiente información (tenga en cuenta que si está solicitando un informe de crédito para su cónyuge, esta información debe ser proporcionada por él/ella también): (1) nombre completo, con la inicial del segundo nombre y cualquier sufijo; (2) número de Seguro Social; (3) fecha de nacimiento; (4) dirección actual y cualquier dirección anterior durante los últimos cinco años; y (5) cualquier informe de incidente o queja pertinente ante una agencia de orden público o ante el Registro de Vehículos Motorizados. La solicitud también debe incluir una copia de una tarjeta de identificación emitida por el gobierno y una copia de una factura de servicios públicos reciente o un estado de cuenta bancario o de seguro. Es esencial que cada copia sea legible, muestre su nombre y dirección postal actual, y la fecha de emisión.
A continuación, encontrará información de contacto relevante para las tres agencias de informes del consumidor:
Equifax Security Freeze | P.O. Box 105788 Atlanta, GA 30348
| 1-800-685-1111 | |
Experian Security Freeze | P.O. Box 9554 Allen, TX 75013 | 1-888-397-3742 |
|
TransUnion |
P.O. Box 160 Woodlyn, PA 19094
|
1-888-909-8872 |
|
Una vez que haya enviado su solicitud, la agencia de informes de crédito debe colocar el congelamiento de seguridad a más tardar 1 día hábil después de recibir una solicitud por teléfono o medio electrónico seguro, y a más tardar 3 días hábiles después de recibir una solicitud por correo postal. A más tardar 5 días hábiles después de colocar el congelamiento de seguridad, la agencia de informes de crédito le enviará la confirmación y la información sobre cómo puede levantar el congelamiento en el futuro.
Para residentes de | Información adicional |
Distrito de Columbia | Puede comunicarse con la Oficina del Fiscal General de D.C. para obtener información sobre las medidas a tomar en función de evitar el robo de identidad: Attorney General’s Office, Office of Consumer Protection, 400 6th Street, NW, Washington DC 20001, 1-202-442-9828, www.oag.dc.gov. |
Iowa | Se puede comunicar con las autoridades policiales y judiciales o con la oficina del Fiscal General de Iowa para denunciar presuntos incidentes de robo de identidad. Puede comunicarse con la Oficina del Fiscal General de Iowa en: Iowa Attorney General's Office, Director of Consumer Protection Division, 1305 E. Walnut Street, Des Moines, IA 50319, 1-515-281-5926, www.iowattorneygeneral.gov. |
Maryland | También puede obtener información sobre cómo prevenir y evitar el robo de identidad, en la Oficina del Fiscal General de Maryland: Maryland Office of the Attorney General, Consumer Protection Division, 200 St. Paul Place, Baltimore, MD 21202, 1-888-743-0023, http://www.marylandattorneygeneral.gov/. |
Massachusetts | Tiene derecho a obtener una denuncia policial con respecto a este incidente. Si es víctima de un robo de identidad, también tiene derecho a presentar una denuncia policial y obtener una copia de ella. |
Nuevo México | Los consumidores de Nuevo México tienen derecho a obtener un congelamiento de seguridad o presentar una declaración de remoción. Usted puede obtener un congelamiento de seguridad en su informe de crédito para proteger su privacidad y asegurarse de que no se otorgue crédito en su nombre sin su conocimiento. Puede presentar una declaración de remoción para eliminar la información que aparezca en su informe de crédito como resultado de ser víctima de robo de identidad. Usted tiene derecho a colocar un congelamiento de seguridad en su informe de crédito o presentar una declaración de remoción de conformidad con la Ley de Informes de Crédito Justos y Seguridad de la Identidad. El congelamiento de seguridad prohibirá que una agencia de informes del consumidor divulgue cualquier información en su informe de crédito sin su autorización o aprobación expresa. El congelamiento de seguridad está diseñado para prevenir que se aprueben créditos, préstamos y servicios en su nombre sin su consentimiento. Cuando coloque un congelamiento de seguridad en su informe de crédito, se le proporcionará un número de identificación personal, contraseña o dispositivo similar para usar en caso de que elija eliminar el congelamiento en su informe de crédito o autorizar temporalmente su divulgación a una parte o partes específicas o por un período de tiempo específico una vez que el congelamiento esté activo. Para eliminar el congelamiento o proporcionar autorización para divulgar temporalmente su informe de crédito, debe comunicarse con la agencia de informes del consumidor y proporcionar todo lo siguiente: (1) el número de identificación personal único, contraseña o dispositivo similar proporcionado por la agencia de informes del consumidor; (2) identificación adecuada para verificar su identidad; y (3) información sobre el tercero o terceros que recibirán el informe de crédito o el período de tiempo durante el cual el informe de crédito puede ser divulgado a los usuarios del mismo. Una agencia de información al consumidor que reciba una solicitud de un consumidor para levantar temporalmente un congelamiento en un informe de crédito deberá cumplir con la solicitud a más tardar tres días hábiles después de recibir la solicitud. A partir del 1.° de septiembre de 2008, las agencias de informes del consumidor deberán cumplir con la solicitud dentro de los quince minutos posteriores a la recepción de la solicitud por un método electrónico seguro o por teléfono. Un congelamiento de seguridad no se aplica en todas las circunstancias, como cuando usted tiene una relación de cuenta activa y su acreedor o sus agentes solicitan una copia de su informe de crédito para ciertos tipos de revisión de cuentas, cobro, control de fraude o actividades similares; para el establecimiento o ajuste de una tasa de seguro o reclamo o suscripción de seguro; para ciertos fines gubernamentales; y para fines de preselección como se define en la Ley Federal de Informes de Crédito Justos. Si está buscando obtener un nuevo crédito, préstamo, servicio público, teléfono o cuenta de seguro, debe entender que los procedimientos involucrados en el levantamiento de un congelamiento de seguridad pueden ralentizar sus solicitudes de crédito. Debe planificar y levantar un congelamiento con suficiente antelación, ya sea completamente si está comprando o específicamente para un determinado acreedor, antes de solicitar un nuevo crédito para que el levantamiento surta efecto. Debe comunicarse con una agencia de informes del consumidor y solicitarle que levante el congelamiento al menos tres días hábiles antes de presentar la solicitud. A partir del 1.° de septiembre de 2008, si se comunica con una agencia de informes del consumidor por un método electrónico seguro o por teléfono, la agencia de informes del consumidor debe levantar el congelamiento en el plazo de quince minutos. Usted tiene derecho a entablar una acción civil contra una agencia de informes del consumidor que viole sus derechos conforme a la Ley de Informes de Crédito Justos y Seguridad de la Identidad. |
Nueva York | También puede obtener información sobre la respuesta a las violaciones de seguridad y la prevención y protección contra el robo de identidad en la Oficina del Fiscal General de Nueva York: Office of the Attorney General, The Capitol, Albany, NY 12224-0341, 1-800-771-7755, www.ag.ny.gov. |
Carolina del Norte | También puede obtener información sobre cómo prevenir y evitar el robo de identidad en la Oficina del Fiscal General de Carolina del Norte: North Carolina Attorney General’s Office, Consumer Protection Division, 9001 Mail Service Center, Raleigh, NC 27699-9001, 1-919-716-6000, www.ncdoj.gov. |
Oregón | Las leyes estatales le aconsejan denunciar cualquier sospecha de robo de identidad a las autoridades policiales, así como a la Comisión Federal de Comercio. La información de contacto del Departamento de Justicia de Oregón es la siguiente: Oregon Department of Justice, 1162 Court Street NE, Salem, OR 97301, 1-877-877-9392, www.doj.state.or.us. |
Rhode Island | Tiene derecho a presentar u obtener una denuncia policial relacionada con este incidente. También puede obtener información sobre cómo prevenir y evitar el robo de identidad en la Oficina del Fiscal General de Rhode Island: Office of the Attorney General, 150 South Main Street, Providence, RI, 02903, 1-401-274-4400, www.riag.ri.gov. |