Hospital Español Auxilio Mutuo de Puerto Rico, Inc. publica este aviso para informarle que nuestra organización experimentó un incidente de seguridad de datos en el cual su información pudo haber estado incluida como se describe más adelante. Nos tomamos muy en serio la privacidad y la seguridad, por lo que le proporcionamos un aviso sobre el incidente, las medidas que puede tomar para ayudar a proteger su información y la oportunidad de inscribirse en servicios gratuitos de monitoreo de crédito.
Qué ocurrió: El 23 de septiembre de 2023, el Departamento de Seguridad Nacional informó al Hospital Español Auxilio Mutuo de Puerto Rico, Inc. que nuestros sistemas pudieran ser el objetivo de un ataque cibernético. Inmediatamente después de recibir este aviso, iniciamos nuestro plan de respuesta a incidentes, contratamos asesores legales y contratamos a expertos en tecnología de la información externos (a través de los asesores legales) especializados en la respuesta a incidentes cibernéticos. El 21 de noviembre de 2023, nuestra investigación inicial identificó evidencia coherente con el acceso no autorizado a ciertos sistemas, pero no pudo concluir el alcance, de haberlo, del uso indebido o la exfiltración de datos.
En un intento por determinar aún más el alcance del incidente, lanzamos una segunda investigación, y el 15 de mayo de 2024, nuestros hallazgos preliminares identificaron actividad no autorizada en nuestros sistemas. Aunque finalmente no fue concluyente, el 24 de septiembre de 2024 se realizó una revisión integral de la evidencia disponible por parte de expertos internos y externos en IT lo cual limitó a los pacientes potencialmente afectados a aquellos que visitaron nuestras instalaciones entre agosto de 2022 y septiembre de 2023.
Aunque reiteramos que no hay evidencia en este momento para concluir afirmativamente que su información personal y médica haya sido exfiltrada en este incidente, por precaución, le proporcionamos este aviso y las medidas que puede tomar para proteger su información personal.
Qué información se vio involucrada: La información potencialmente afectada incluye su nombre y apellido, combinados con los siguientes elementos de datos:
Y/O
estatal, o números de pasaporte.
Qué estamos haciendo: Al enterarnos del incidente, tomamos medidas inmediatas para asegurar nuestros sistemas. También contratamos a asesores legales y contratamos especialistas forenses externos para ayudar a determinar la naturaleza y el alcance del incidente. Hemos tomado medidas para fortalecer nuestros sistemas de red para reducir el riesgo de que ocurra un incidente similar en el futuro.
También le brindamos la oportunidad de inscribirse en los servicios de Medical Shield Pro y Equifax WebDefend sin costo alguno para usted. Estos servicios le proporcionan alertas durante 12 meses a partir de la fecha de inscripción. Estos servicios serán proporcionados por CyEx y Equifax respectivamente; ambas compañías son especializadas en servicios de asistencia y remediación de fraudes. Las instrucciones sobre cómo inscribirse en estos servicios, junto con los recursos adicionales disponibles para usted, se incluyen en el documento adjunto “Medidas que puede tomar para proteger su información”.
Qué puede hacer usted: Hasta la fecha, no tenemos conocimiento de ninguna denuncia de fraude de identidad o uso indebido de su información personal o médica como resultado directo de este incidente. Tampoco tenemos ninguna indicación de que su información personal o médica haya estado o esté en riesgo de ser utilizada indebidamente. Sin embargo, le recomendamos que permanezca alerta revisando sus estados de cuenta e informes de crédito para poder detectar actividad sospechosa y errores. Si descubre alguna actividad sospechosa o inusual en sus cuentas, comuníquese de inmediato con la institución financiera o compañía. A continuación proporcionamos información adicional sobre las medidas que puede tomar para protegerse contra el fraude y el robo de identidad, así como las instrucciones para registrarse en el monitoreo de crédito.
Para obtener más información: Si tiene preguntas o inquietudes, comuníquese con nuestra línea de asistencia exclusiva al 1-877-721-5315 entre las 9:00 a. m. y las 9:00 p. m., hora estándar del este, de lunes a viernes para obtener asistencia. Tenga en cuenta que la seguridad de la información es de suma importancia para nosotros. Mantenemos nuestro compromiso de conservar su confianza en nosotros y le agradecemos su apoyo durante este tiempo.
Atentamente,
Jorge J. Vélez Gutiérrez
Abogado General
Hospital Español Auxilio Mutuo de Puerto Rico, Inc
Instrucciones de inscripción
Medical Shield Pro
Si necesita ayuda con el proceso de inscripción o tiene preguntas sobre Medical Shield, llame directamente a Medical Shield al 866.622.9303.
WebDefend de Equifax
Características clave
Si actualmente tiene o ha tenido en el pasado algún servicio de Equifax, no podrá registrarse en línea.
Comuníquese con el equipo de Atención al Cliente de Equifax de lunes a viernes, de 9:00 a. m. a 5:00 p. m. (GMT), al +44 (0)800 587 1584 o al +442037885496 si llama desde fuera del Reino Unido.
Monitoree sus cuentas y sus informes crediticios
Le recomendamos que esté atento para detectar incidentes de robo de identidad y fraude al revisar sus estados de cuenta y e informes de crédito, así como los formularios de explicación de beneficios para detectar actividad sospechosa y errores. En virtud de la ley estadounidense, tiene derecho a un informe crediticio gratuito anual de cada una de las tres oficinas de informes crediticios más importantes: TransUnion, Experian y Equifax. Para solicitar su informe crediticio sin cargo, visite www.annualcreditreport.com o llame al número gratuito 1-877-322-8228. Una vez revise su informe crediticio verifique discrepancias y trate de identificar aquellas cuentas que no abrió o consultas a entidades crediticias que no autorizó. Si tiene preguntas u observa información incorrecta, comuníquese con la oficina de informes crediticios.
Tiene derecho a colocar una “alerta de fraude” inicial o extendida en un expediente sin costo alguno. Una alerta de fraude inicial es una alerta de un (1) año que se coloca en el expediente crediticio de un consumidor. Al ver una alerta de fraude, es necesario que la empresa tome medidas para verificar la identidad del consumidor antes de conceder un nuevo crédito. Si es víctima de robo de identidad, tiene derecho a una alerta de fraude extendida que dura siete años. Si desea aplicar una alerta de fraude, comuníquese con cualquiera de las tres oficinas de informes crediticios indicadas a continuación:
Como alternativa a una alerta de fraude, usted tiene derecho a colocar un “congelamiento de crédito” en un informe de crédito, que prohibirá que una oficina de informes de crédito divulgue información en el informe de crédito sin su autorización expresa. El congelamiento de crédito está diseñado para evitar que se aprueben créditos, préstamos y servicios en su nombre sin su consentimiento. No obstante, debe tener en cuenta que el uso del congelamiento de crédito puede retrasar, interferir o vedar la aprobación oportuna de una solicitud o pedido posterior que usted haga con respecto a un nuevo préstamo, crédito, hipoteca o cualquier otra cuenta relacionada con la concesión de un crédito. De conformidad con la legislación federal, no se le puede cobrar por aplicar o retirar un congelamiento de crédito en su informe crediticio. Para solicitar un congelamiento de crédito debe proporcionar la siguiente información:
Si desea aplicar una alerta de fraude o congelamiento de crédito, comuníquese con las tres oficinas de informes crediticios indicadas a continuación:
| TransUnion 1-800-680-7289 www.transunion.com TransUnion Fraud Alert TransUnion Credit Freeze |
Experian 1-888-397-3742 www.experian.com Experian Fraud Alert Experian Credit Freeze |
Equifax 1-888-298-0045 www.equifax.com Equifax Fraud Alert Equifax Credit Freeze |
Información adicional
Para obtener más información acerca del robo de identidad, las alertas de fraude, el congelamiento de crédito y las medidas que puede tomar para proteger su información personal, comuníquese con las oficinas de informes crediticios, la Comisión Federal de Comercio (Federal Trade Commission, FTC) o con el fiscal general de su estado. La FTC también recomienda a aquellas personas que descubren que su información ha sido utilizada indebidamente que presenten un reclamo ante dicho organismo. Puede contactar a la FTC en 600 Pennsylvania Avenue NW, Washington, DC 20580; www.identitytheft.gov; 1-877-ID-THEFT (1-877-438-4338) y TTY: 1-866-653-4261. Tiene derecho a presentar una denuncia a la policía si alguna vez es víctima de fraude o robo de identidad. Recuerde que, para presentar una denuncia a la policía por robo de identidad, probablemente deberá proporcionar algún tipo de prueba que demuestre que ha sido víctima de tal delito. Las instancias de sospecha o certeza de robo de identidad también deben denunciarse a la policía, ante el fiscal general de su estado y a la FTC. Esta notificación no fue retrasada por la policía.
Para los residentes del Distrito de Columbia, pueden comunicarse con el Fiscal General del Distrito de Columbia en 441 4th Street NW #1100, Washington, D.C. 20001; 202-727-3400 y https://oag.dc.gov/consumer-protection.
Para los residentes de Maryland, pueden comunicarse con el Fiscal General de Maryland en Office of the Attorney General, 200 St. Paul Place, Baltimore, MD 21202; 1-888-743-0023; o www.marylandattorneygeneral.gov.
Para residentes de Nuevo México, usted tiene ciertos derechos de acuerdo con la Ley de Información Crediticia Justa, como por ejemplo el derecho de obtener información si su expediente crediticio ha sido utilizado en su contra, el derecho de saber lo que contiene su expediente crediticio, el derecho de solicitar su calificación crediticia y el derecho de impugnar información incompleta o incorrecta. Además, en virtud de la Ley de Información Crediticia Justa: (i) las agencias de informes del consumidor deben corregir o eliminar toda información incorrecta, incompleta o no verificable; (ii) las agencias de informes del consumidor no pueden reportar información negativa desactualizada; (iii) el acceso a su expediente es limitado; (iv) usted debe otorgar consentimiento para proporcionar informes crediticios a sus empleadores; (v) usted puede limitar las ofertas de crédito y seguro “preautorizadas” que usted recibe con base en información en su informe crediticio; y (vi) usted puede reclamar daños y perjuicios de quienes violen sus derechos. Es posible que también tenga otros derechos en virtud de la Ley de Información Crediticia Justa, que no son mencionados en el presente documento. Las víctimas de robo de identidad y el personal militar en servicio activo cuentan con otros derechos específicos en virtud de la Ley de Información Crediticia Justa. Le recomendamos revisar sus derechos en virtud de la Ley de Información Crediticia Justa ingresando en https://files.consumerfinance.gov/f/201504_cfpb_summary_your-rights-under-fcra.pdf, o por correo postal dirigido a Consumer Response Center, Room 130-A, FTC, 600 Pennsylvania Ave. N.W., Washington, D.C. 20580.
Para los residentes de Nueva York, pueden comunicarse con el Fiscal General de Nueva York en Office of the Attorney General, The Capitol, Albany, NY 12224-0341; 1-800-771-7755; o en https://ag.ny.gov.
Para los residentes de Carolina del Norte, pueden comunicarse con el Fiscal General de Carolina del Norte en 9001 Mail Service Center, Raleigh, NC 27699-9001; llamando al 1-877-566-7226 o 1-919-716-6000; y en www.ncdoj.gov.
Para los residentes de Oregón, pueden comunicarse con el fiscal general de Oregón en Oregon Department of Justice, 1162 Court St. NE, Salem, OR 97301-4096; 1-877-877-9392; y https://doj.state.or.us/consumer-protection/.
Para los residentes de Rhode Island, pueden comunicarse con el Fiscal General de Rhode Island en 150 South Main Street, Providence, RI 02903; por teléfono al 1-401-274-4400; y en www.riag.ri.gov. En virtud de la ley de Rhode Island, usted tiene derecho a obtener la denuncia policial presentada con respecto a este incidente.
Hospital Español Auxilio Mutuo de Puerto Rico, Inc. is posting this substitute notice to provide customers and individuals with information about the data security incident experienced by our organization that may have involved their information as described below. We take privacy and security very seriously and are providing notice about the incident, steps you can take to help protect your information, and the opportunity to enroll in complimentary credit monitoring services.
What Happened: On September 23, 2023, the Department of Homeland Security informed Hospital Español Auxilio Mutuo de Puerto Rico, Inc. that our systems could be the target of a cyberattack. Immediately upon receiving this notice, we initiated our incident response plan, retained legal counsel, and engaged outside IT experts (through counsel) in cyber incident response. On November 21, 2023, our initial investigation identified evidence consistent with unauthorized access to certain systems, but was unable to conclude the extent, if any, of data misuse or exfiltration.
In an attempt to further determine the extent of the incident, we launched a second investigation, and on May 15, 2024, our preliminary findings identified unauthorized activity on Auxilio Mutuo’s systems. Although ultimately inconclusive, on September 24, 2024, a comprehensive review of available evidence by internal and external IT experts limited the potentially affected patients to those who visited our facility between August 2022 and September 2023.
Although there is no evidence at this time to affirmatively conclude that personal and health information has been exfiltrated by this incident, out of an abundance of caution, we are providing this notice and steps you can take to protect personal information.
What Information Was Involved:The information potentially impacted includes your first and last name, in combination with the following data element(s):
What We Are Doing:Upon learning of the incident, we took immediate steps to address it, including securing our systems. We also retained legal counsel and engaged outside forensic specialists to assist with determining the nature and scope of the incident as outlined above. We have taken steps to strengthen our network systems to reduce the risk of a similar incident occurring in the future. We also are providing you with an opportunity to enroll in Medical Shield Pro and Equifax WebDefend services at no cost to you. These services provide you with alerts for 12 months from the date of enrollment. These services will be provided by CyEx and Equifax respectively, both companies specialize in fraud assistance and remediation services. Instructions about how to enroll in these services and additional resources available to you are included in the enclosed “Steps You Can Take to Help Protect Your Information.”
What You Can Do: To date, we are not aware of any reports of identity fraud or improper use of your personal or health information as a result of this incident. Nor do we have any indication that your personal or health information has been or is threatened to be misused. However, it is always prudent for persons to remain vigilant against incidents of identity theft and fraud by reviewing your credit reports and account statements for suspicious activity and to detect errors. If you discover any suspicious or unusual activity on your accounts, please promptly contact the financial institution or company. We have provided additional information below, which contains more information about steps you can take to help protect yourself against fraud and identity theft, as well as credit monitoring enrollment instructions.
For More Information: Should you have any questions or concerns, please contact our dedicated assistance line at 1- 877-721-5315 between the hours of 9:00 a.m. and 9:00 p.m. Eastern Standard Time, Monday through Friday for assistance. Please know that the security of information is of the utmost importance to us. We stay committed to protecting your trust in us and continue to be thankful for your support during this time.
Sincerely,
Jorge J. Velez Gutierrez
General Counsel
Hospital Español Auxilio Mutuo de Puerto Rico, Inc
Enrollment Instructions
Medical Shield Pro
If you need assistance with the enrollment process or have questions regarding Medical Shield, please call Medical Shield directly at 866.622.9303.
Equifax WebDefend
Key Features
Enrollment Instructions
If you currently have, or have previously had an Equifax service, you will not be able to register online.
Please contact Equifax Customer Care team Monday – Friday 9am – 5pm GMT at +44 (0)800 587 1584 or outside of the UK at +442037885496.
Monitor Your Accounts and Credit Reports
We encourage you to remain vigilant against incidents of identity theft and fraud by reviewing your credit reports/account statements and explanation of benefits forms for suspicious activity and to detect errors. Under U.S. law, you are entitled to one free credit report annually from each of the three major credit reporting bureaus, TransUnion, Experian, and Equifax. To order your free credit report, visit www.annualcreditreport.com or call 1-877-322-8228. Once you receive your credit report, review it for discrepancies and identify any accounts you did not open or inquiries from creditors that you did not authorize. If you have questions or notice incorrect information, contact the credit reporting bureau.
You have the right to place an initial or extended “fraud alert” on a credit file at no cost. An initial fraud alert is a one- year alert that is placed on a consumer’s credit file. Upon seeing a fraud alert, a business is required to take steps to verify the consumer’s identity before extending new credit. If you are a victim of identity theft, you are entitled to an extended fraud alert lasting seven years. Should you wish to place a fraud alert, please contact any of the three credit reporting bureaus listed below.
As an alternative to a fraud alert, you have the right to place a “credit freeze” on a credit report, which will prohibit a credit bureau from releasing information in the credit report without your express authorization. The credit freeze is designed to prevent credit, loans, and services from being approved in your name without your consent. However, you should be aware that using a credit freeze may delay, interfere with, or prohibit the timely approval of any subsequent request or application you make regarding a new loan, credit, mortgage, or any other account involving the extension of credit. Pursuant to federal law, you cannot be charged to place or lift a credit freeze on your credit report. To request a credit freeze, you should provide the following information:
Should you wish to place a fraud alert or credit freeze, please contact the three major credit reporting bureaus listed below:
| TransUnion 1-800-680-7289 www.transunion.com TransUnion Fraud Alert TransUnion Credit Freeze |
Experian 1-888-397-3742 www.experian.com Experian Fraud Alert Experian Credit Freeze |
Equifax 1-888-298-0045 www.equifax.com Equifax Fraud Alert Equifax Credit Freeze |
Additional Information
You can further educate yourself regarding identity theft, fraud alerts, credit freezes, and the steps you can take to protect your personal information by contacting the credit reporting bureaus, the Federal Trade Commission (FTC), or your state Attorney General. The FTC also encourages those who discover that their information has been misused to file a complaint with them. The FTC may be reached at 600 Pennsylvania Ave. NW, Washington, D.C. 20580; www.identitytheft.gov; 1-877-ID-THEFT (1-877-438-4338); and TTY: 1-866-653-4261.
You have the right to file a police report if you ever experience identity theft or fraud. Please note that in order to file a report with law enforcement for identity theft, you will likely need to provide some proof that you have been a victim. Instances of known or suspected identity theft should also be reported to law enforcement, your state Attorney General, and the FTC. This notice has not been delayed by law enforcement. For D.C. residents, the District of Columbia Attorney General may be contacted at 441 4th Street NW #1100, Washington, D.C. 20001; 202-727-3400, and https://oag.dc.gov/consumer-protection.
For Maryland residents, the Maryland Attorney General may be contacted at Office of the Attorney General, 200 St. Paul Place, Baltimore, MD 21202; 1-888-743-0023; or www.marylandattorneygeneral.gov.
For New Mexico residents, you have rights pursuant to the Fair Credit Reporting Act, such as the right to be told if information in your credit file has been used against you, the right to know what is in your credit file, the right to ask for your credit score, and the right to dispute incomplete or inaccurate information. Further, pursuant to the Fair Credit Reporting Act: (i) the consumer reporting agencies must correct or delete inaccurate, incomplete, or unverifiable information; (ii) the consumer reporting agencies may not report outdated negative information; (iii) access to your file is limited; (iv) you must give consent for credit reports to be provided to employers; (v) you may limit “prescreened” offers of credit and insurance you get based on information in your credit report; (vi) and you may seek damages from violators. You may have additional rights under the Fair Credit Reporting Act not summarized here. Identity theft victims and active-duty military personnel have specific additional rights pursuant to the Fair Credit Reporting Act. We encourage you to review your rights pursuant to the Fair Credit Reporting Act by visiting https://files.consumerfinance.gov/f/201504_cfpb_summary_your-rights-under-fcra.pdf, or by writing Consumer Response Center, Room 130-A, FTC, 600 Pennsylvania Ave. N.W., Washington, D.C. 20580.
For New York residents, the New York Attorney General may be contacted at Office of the Attorney General, The Capitol, Albany, NY 12224-0341; 1-800-771-7755; or https://ag.ny.gov.
For North Carolina residents, the North Carolina Attorney General may be contacted at 9001 Mail Service Center, Raleigh, NC 27699-9001; 1-877-566-7226 or 1-919-716-6000; and www.ncdoj.gov.
For Oregon residents, the Oregon Attorney General may be contacted at Oregon Department of Justice, 1162 Court St. NE, Salem, OR 97301-4096; 1-877-877-9392; and https://doj.state.or.us/consumer-protection/.
For Rhode Island residents, the Rhode Island Attorney General may be contacted at 150 South Main Street, Providence, RI 02903; 1-401-274-4400; and www.riag.ri.gov. Under Rhode Island law, you have the right to obtain any police report filed in regard to this incident.
