La filtración de datos de Episource, empresa de tecnología sanitaria vinculada a UnitedHealth, afecta a 5,4 millones de pacientes.

Episource, una empresa especializada en facturación médica, está informando actualmente a más de 5,4 millones de personas en todo Estados Unidos que su información personal y de salud fue robada en un ciberataque a principios de este año.

Este incidente, que afectó a un número significativo de estadounidenses, constituye una de las principales violaciones de datos de atención médica reportadas en lo que va de 2025, según datos del Departamento de Salud y Servicios Humanos de EE. UU.

Episource, parte de Optum, subsidiaria de UnitedHealth Group, desempeña un papel crucial en el sistema de salud. Como empresa de facturación médica, colabora con médicos, hospitales y otros proveedores de atención médica para procesar reclamaciones a través de seguros médicos. Esto significa que manejan grandes cantidades de datos confidenciales de pacientes.

En notificaciones presentadas ante las autoridades de California yVermont , Episource declaró que un ciberdelincuente obtuvo acceso no autorizado a sus sistemas. La empresa detectó actividad inusual en sus sistemas informáticos el 6 de febrero de 2025.

Las investigaciones revelaron que entre el 27 de enero de 2025 y el 6 de febrero de 2025, el atacante pudo ver y copiar varios tipos de datos de pacientes y miembros de los sistemas de Episource.

Aunque Episource no ha detallado públicamente la naturaleza específica del ataque, Sharp Healthcare, uno de sus clientes afectados por la violación, ha informado a sus clientes que el incidente fue causado por ransomware.

“El 24 de abril de 2025, Episource, un socio comercial de Sharp HealthCare y Sharp Community Medical Group, confirmó que Sharp fue uno de sus clientes afectados por una filtración de datos de ransomware”, señaló la empresa en su notificación de filtración .

La información robada es extensa e incluye datos personales y de salud confidenciales. Esto incluye información básica de contacto, como nombres, direcciones postales y de correo electrónico, y números de teléfono.

Más grave aún, la filtración expuso datos de salud protegidos, como números de historiales médicos, información sobre médicos, diagnósticos, medicamentos, resultados de pruebas, imágenes y detalles sobre atención y tratamiento. Además, también se robó información del seguro médico, incluyendo planes de salud, detalles de las pólizas y números de afiliado.

Episource comenzó a notificar a los clientes afectados sobre los datos específicos involucrados el 23 de abril de 2025. Desde entonces, la empresa ha tomado medidas para fortalecer sus sistemas informáticos y se ha puesto en contacto con las autoridades para investigar el incidente.

Para ayudar a los afectados, Episource ofrece dos años de servicios gratuitos de monitoreo de crédito y protección contra el robo de identidad a través de IDX. Las personas tienen hasta el 11 de octubre de 2025 para inscribirse en estos servicios.

La empresa recomienda a todos que revisen cuidadosamente los estados de cuenta de los proveedores de atención médica, compañías de seguros e instituciones financieras para detectar cualquier actividad sospechosa y que informen inmediatamente cualquier inquietud a las autoridades pertinentes.

“ Esta violación indica que los actores de amenazas están cambiando su enfoque de hospitales y clínicas a proveedores externos, porque este enfoque les permite obtener acceso a cantidades masivas de PHI a la vez ” , dijo el Sr. Piyush Pandey , director ejecutivo de Pathlock.

Una vez que los adversarios obtienen estos datos, pueden usarlos indebidamente durante muchos años para estafas altamente personalizadas y campañas de chantaje. Una filtración de esta magnitud genera riesgos de incumplimiento y un escrutinio regulatorio más estricto para todas las entidades de la cadena de suministro de atención médica , enfatizó.

Esta es la segunda filtración importante de datos relacionada con UnitedHealth Group en poco más de un año. HackRead informó anteriormente que un ataque de ransomware contra la unidad Change Healthcare de UnitedHealth en febrero de 2024 expuso los datos de unos 190 millones de estadounidenses, convirtiéndola en una de las mayores filtraciones de datos de la historia del sector salud.

Ahora, Episource, una empresa vinculada a UnitedHealth, ha sufrido otra vulneración de seguridad que ha afectado a 5,4 millones de pacientes, lo que muestra un patrón problemático de vulnerabilidad de ciberseguridad en todas las entidades conectadas a UnitedHealth.