¿Qué sucedió? 

BORN Ontario fue afectada por una violación de la ciberseguridad causada por una vulnerabilidad en nuestro software de transferencia de archivos, Progress MOVEit. Este incidente ha afectado a cientos de organizaciones en todo el mundo que usaban la misma aplicación para transferir sus datos de forma segura. Usábamos esta aplicación para transferir datos de forma segura a socios autorizados y para mover los datos que se utilizan para la ejecución de análisis. Como resultado de la vulnerabilidad en MOVEit, un tercero no autorizado logró acceder a ciertos archivos que estaban en poder de BORN Ontario y, además, logró copiarlos.  

BORN Ontario tomó medidas inmediatas para contener la amenaza tras ser informada de la violación por parte del proveedor del software, Progress Software. Comenzamos una investigación del incidente con expertos en ciberseguridad y desconectamos nuestros sistemas para revisarlos en busca de actividad sospechosa. Se notificó a las autoridades pertinentes, incluyendo la Policía Provincial de Ontario y el Comisionado de Información y Privacidad (IPC) de Ontario.   

Nuestra investigación de la violación confirmó que los archivos que se copiaron incluían información médica personal de personas que recibieron atención prenatal y durante el embarazo en Ontario entre enero de 2012 y mayo de 2023. Los datos también incluían registros de recién nacidos y niños que nacieron o recibieron atención específica en Ontario.   

Para obtener más información sobre el tipo de datos y los rangos de fechas afectados, consulte la pestaña “¿Me afecta  a mí?”. 

BORN Ontario se enteró de la violación el 31 de mayo de 2023. A horas de haberse enterado de la violación, BORN Ontario desconectó el servidor afectado y contrató a expertos externos en ciberseguridad para que presten asistencia en la investigación. También lanzamos un aviso público en nuestro sitio web para informar sobre el incidente.   

BORN Ontario publicó información sobre el incidente en su sitio web el 7 de junio de 2023 y prometió actualizar al público en cuanto dispusiese de más información. 

Este incidente es complejo y requirió una revisión completa de los archivos afectados, lo cual llevó varias semanas. La investigación y la revisión fueron necesarias para brindarle información precisa y completa. Hemos trabajado mucho para notificar a las personas afectadas lo antes posible.  

Tras tomar conocimiento del incidente el 31 de mayo de 2023, BORN notificó a la Policía Provincial de Ontario el 1 de junio de 2023. Se notificó al Comisionado de Información y Privacidad de Ontario el 5 de junio de 2023. Se notificó a otras partes interesadas clave y a otros funcionarios del gobierno el 6 de junio de 2023. Lanzamos un anuncio público en nuestro sitio web el 7 de junio de 2023.  

Nuestra investigación ha determinado que este incidente ha afectado la información de aproximadamente 3.4 millones de personas, entre las que se incluyen personas embarazadas, bebés y niños.  

No hay pruebas que sugieran que se haya hecho uso indebido de los datos involucrados en este incidente con fines fraudulentos.  

¿De quiénes recopila BORN mis datos? 

BORN Ontario recibe financiación del Ministerio de Salud para recopilar, analizar y compartir datos de organizaciones de atención médica, incluidos hospitales, grupos de atención de partería, clínicas de fertilidad y laboratorios. BORN vincula y analiza los datos antes de empaquetarlos y convertirlos en información que los proveedores de atención médica puedan usar para mejorar la atención y guiar la toma de decisiones. Los resultados son un mejor sistema de salud que brinda mejores experiencias de atención médica para usted y sus hijos. Al igual que todos los registros de salud acreditados, el Comisionado de Información y Privacidad de Ontario revisa nuestras políticas y nuestros procedimientos cada tres años para asegurarse de que cumplamos con la normativa. BORN recopila datos de proveedores de atención médica en ejercicio de las facultades que le confiere la Ley de Protección de Información Médica Personal (Personal Health Information Protection Act, PHIPA).

Los registros desempeñan un papel vital en la recopilación, el uso y el intercambio de información de atención clínica. Se recopila información médica personal de redes de proveedores con el fin de mejorar las experiencias de atención médica para usted y sus hijos. La recopilación de datos en toda la provincia ayuda a garantizar que los esfuerzos de calidad en la atención médica, la detección de oportunidades de atención específicas desaprovechadas y los resultados en materia de salud se registren de la misma forma y no oculten inequidades en salud.  

¿Fue alcanzada mi identidad/la identidad de mi hijo(a) por la violación de privacidad? ¿Cómo y por qué? 

La identidad del niño(a) y de la persona embarazada se recopila en el momento del parto y cuando se prestan los servicios.   

La identidad se utiliza para apoyar la atención del paciente al informar al proveedor acerca de deficiencias en la atención, como por ejemplo, exámenes de salud que no se realizaron, y para garantizar que los registros recibidos de múltiples fuentes puedan vincularse de manera precisa. Es sumamente importante para la medición de la calidad en la atención médica que los proveedores puedan identificar de forma precisa quién está recibiendo atención y su estado de salud.  

¿Se ha usado indebidamente o publicado la información que se extrajo? 

En este momento, no existen pruebas que sugieran que se haya hecho uso indebido de los datos involucrados en este incidente con fines fraudulentos, o que se hayan hecho públicos. Continuaremos monitoreando la dark web en busca de cualquier actividad relacionada con este incidente. Si en el futuro tomamos conocimiento de cualquier uso indebido de la información, proporcionaremos una actualización en nuestro sitio web.  

Es importante mantenernos siempre atentos para proteger su información, es por eso que monitoreamos sus cuentas en línea, creamos y administramos contraseñas únicas que sean seguras para sus cuentas en línea y denunciamos cualquier actividad inusual a la policía y a los proveedores de servicios.  

BORN Ontario nunca se pondrá en contacto con usted por correo electrónico, mensaje de texto o teléfono para solicitarle información personal confidencial.  

¿Cómo puedo saber a qué información específica mía se accedió? 

Lamentablemente, debido a la naturaleza compleja del incidente, no podemos proporcionar un desglose personalizado de la información específica afectada. Le ofrecemos nuestras más sinceras disculpas por este incidente. Si bien es difícil prevenir ataques contra software de terceros, hemos tomado medidas para fortalecer aún más nuestros controles de seguridad con el fin de limitar la posibilidad de que vuelva a producirse un incidente de este tipo. Para obtener más información sobre los tipos de datos afectados en función del tipo de atención que usted recibió, consulte la pestaña “¿Me afecta a mí?” de nuestro sitio web. No es necesario que haga otra cosa.  

¿Por qué no recibí una carta por correo o una llamada telefónica que me informara que me afectó esta violación de privacidad? 

La atención durante tratamientos de fertilidad, durante el embarazo y al recién nacido es información confidencial. No hay pruebas de que se haya hecho uso indebido de la información que se copió en esta violación de privacidad con fines fraudulentos, ni de que se haya hecho pública. BORN Ontario mantiene la privacidad y la identidad de aquellas personas afectadas y no crea ningún material escrito que vincule a las personas con su historial de tratamientos de fertilidad, partos o embarazos. Este sitio web ofrece información para notificarle el incidente y ayudarlo a determinar si usted o un familiar fueron afectados.  

He leído las preguntas y aun así no estoy seguro de si me afecta a mí. 

Consulte la pestaña “¿Me afecta a mí?” de nuestro sitio web. También puede llamar a nuestra línea directa bilingüe (inglés o francés) al 1 833 622 1361.

¿Recopila BORN información de proveedores de datos fuera de Ontario? 

Como registro regulado en Ontario, BORN no recopila información médica personal de Custodios de información médica ubicados fuera de Ontario. 

Sin embargo, para proporcionar información sobre la calidad y los resultados de la atención de salud en el ámbito de la fertilidad que contribuya a mejorarla, los progresos año tras año, y para proporcionar datos de Canadá que puedan compararse con otras jurisdicciones a nivel internacional, sí se recopila información sin identificación de clínicas de fertilidad en todo Canadá.  

En este incidente se vio afectada la información de clínicas de fertilidad in vitro fuera de Ontario, que reflejaban únicamente tratamientos de fertilidad in vitro o de banco de óvulos desde enero de 2013 hasta mayo de 2023.   

Esta información no incluye: 

• Nombres 
• Direcciones 
• Códigos postales 

• Números de teléfono 
• Números de tarjetas de salud 
• Correos electrónicos de pacientes 

Los nombres de las clínicas de fertilidad in vitro tampoco se identifican en la información afectada. 

En virtud de la autoridad que nos confiere la Ley de Protección de Información Médica Personal (Personal Health Information Protection Act) de Ontario, BORN recopila identificación de clínicas ubicadas en Ontario. Esto nos permite vincular esos registros a información sobre embarazos, nacimientos y la salud de los niños para proporcionar así un análisis e información más provechosos de Ontario sobre los resultados experimentados por pacientes que utilizan tecnología para la promoción de la fertilidad y los embarazos producidos por esta tecnología. Esta información contribuye a la toma de decisiones políticas y de atención médica. 

Me preocupa que se esté utilizando de forma fraudulenta mi tarjeta de salud. 

BORN Ontario no recopila los códigos de versión de las tarjetas de salud, lo cual dificulta que la información que se copió en la violación de privacidad pueda utilizarse para cometer fraude con la tarjeta de salud.  

Sin embargo, si sospecha que el número de su tarjeta de salud se usó indebidamente, puede denunciar la sospecha de fraude llamando al Ministerio de Salud al 1-888-781-5556 o enviando un correo electrónico a [email protected]. 

Para obtener más información sobre cómo reemplazar las tarjetas del Plan de Seguro de Salud de Ontario (Ontario Health Insurance Plan, OHIP) robadas o extraviadas, visite: Replace, cancel or change information on your health card | ontario.ca.

¿Cuáles son los riesgos ahora? 

En este momento, no existen pruebas que sugieran que se haya hecho uso indebido de los datos involucrados en este incidente con fines fraudulentos, o que se hayan hecho públicos. Aunque la información médica personal que contiene el registro es confidencial, BORN Ontario no recopila información financiera personal ni el tipo de información que normalmente se usaría para robar su identidad.  

¿Existe el riesgo de robo de identidad? 

Hemos consultado a expertos de la industria, incluido el equipo de Investigación de Ciberdelitos de la Policía Provincial de Ontario, y determinamos que el riesgo de robo de identidad es extremadamente bajo. Esto se debe a que los datos afectados no incluyen información bancaria ni financiera, como números de tarjetas de crédito, números de seguro social, versión de la tarjeta de salud, códigos de vencimiento o de seguridad, ni direcciones de correo electrónico de los pacientes. Siempre es importante mantenernos atentos y proteger su información, es por eso que monitoreamos sus cuentas y denunciamos cualquier actividad inusual a la policía y a los proveedores de servicios pertinentes. BORN Ontario nunca se pondrá en contacto con usted por correo electrónico, mensaje de texto o teléfono para solicitarle información personal confidencial. 

¿Cómo puedo ponerme en contacto con el Comisionado de Información y Privacidad de Ontario? 

Para realizar un reclamo sobre el incidente ante el Comisionado de Información y Privacidad (IPC) de Ontario, visite el sitio web del IPC. Si tiene preguntas puntuales sobre la violación de privacidad, consulte la pestaña “¿Me afecta a mí?” de nuestro sitio web o llame a nuestra línea directa al 1 833 622 1361.

¿Qué están haciendo para asegurarse de que esto no vuelva a suceder? 

La privacidad de los datos es fundamental para todo lo que hacemos en BORN Ontario. Desde que tomamos conocimiento de este incidente, hemos estado trabajando con expertos en ciberseguridad para comprender el alcance total del incidente y asegurarnos de que nuestros sistemas sean seguros y continúen siéndolos. En este momento, no existen pruebas de que se haya hecho uso indebido de los datos que se copiaron con fines fraudulentos. Continuamos monitoreando la dark web en busca de cualquier actividad relacionada con este incidente, es decir, si se han publicado u ofrecido para la venta los datos de BORN. Hasta ahora, no hemos detectado ningún indicio de ello. Además, el software afectado ya no está en uso. 

Mi bebé nació en casa, ¿están afectados nuestros datos? 

Sí, podrían estar afectados. Se recopila información de los proveedores y las organizaciones que intervienen en el embarazo, el nacimiento y el parto, incluidas las parteras que puedan haber asistido el parto en el hogar. Para obtener más información sobre el tipo de datos afectados, consulte la pestaña “¿Me afecta a mí?”. 

¿El incidente alcanzó las citas de atención prenatal de rutina con mi profesional médico (obstetra, ginecólogo, médico de cabecera, partera, profesional de enfermería, etc.) y las citas con especialistas (genética médica, especialista en medicina maternofetal)? 

Es posible que BORN haya recopilado una selección de datos de los registros de embarazo recopilados por los profesionales de atención médica durante estas visitas antes del parto o en el momento del trabajo de parto y el parto (p. ej., datos demográficos, antecedentes médicos, resultados de análisis de laboratorio, historial de embarazos, resultados de pruebas de diagnóstico y detección, como pruebas de infección por estreptococo del grupo B o pruebas de diabetes gestacional). 

¿Qué tipo específico de resultados de análisis de laboratorio se vieron alcanzados? 

Los siguientes son los tipos más comunes de resultados de análisis de laboratorio que se vieron alcanzados: 

• Análisis genéticos prenatales: aproximadamente el 70 % de las mujeres embarazadas en Ontario se someten a análisis genéticos prenatales.  Estos análisis de sangre, algunos realizados en combinación con ecografías, detectan anomalías cromosómicas en el bebé en gestación, incluida la trisomía 21 (síndrome de Down), 18 y 13. Los datos afectados también incluían resultados de otros análisis genéticos prenatales menos comunes que se utilizan para detectar otras anomalías cromosómicas.

• Resultados de pruebas de detección de infección por estreptococo del grupo B: una prueba que comúnmente se realiza en las mujeres embarazadas antes del parto para detectar una bacteria que puede causar daño significativo al recién nacido.
• Resultados de pruebas de diabetes gestacional: los datos indicarían si a la persona se le diagnosticó diabetes gestacional. 
• Resultados de pruebas de detección en el recién nacido: estas pruebas críticas se realizan poco después del parto para detectar enfermedades que pueden tratarse que, por lo general, no presentan síntomas en un recién nacido. La detección temprana de estas enfermedades a través de pruebas de detección en los recién nacidos evita problemas de salud graves y puede salvar vidas. 

Visite la pestaña “¿Me afecta a mí?” de nuestro sitio web para obtener más información sobre el tipo de información y los rangos de fechas en los que se recopilaron los datos afectados.