Más de 100 millones de personas sufrieron el robo de su información sanitaria privada durante el ataque de ransomware a Change Healthcare en febrero, un ciberataque que provocó meses de interrupciones sin precedentes y perturbaciones generalizadas en todo el sector sanitario de EE. UU.
Esta es la primera vez que UnitedHealth Group (UHG), el proveedor de seguros de salud de EE. UU. propietario de la empresa de tecnología sanitaria, somete a varias personas afectadas a la violación de datos, después de haber dicho anteriormente que anticipaba que la violación incluiría datos en una cantidad “sustancial”. proporción de personas en Estados Unidos”.
El Departamento de Salud y Servicios Humanos de EE. UU. informó por primera vez el número actualizado en su portal de violación de datos el jueves.
El portavoz de UHG, Tyler Mason, dijo en un breve comunicado: “Seguimos notificando a las personas potencialmente afectadas lo más rápido posible, de forma continua, dado el volumen y la complejidad de los datos involucrados y la investigación aún se encuentra en sus etapas finales”.
El ataque de ransomware y la violación de datos en Change Healthcare es el mayor robo digital conocido de registros médicos de EE. UU., y una de las mayores filtraciones de datos de la historia viva. Es probable que las consecuencias para los millones de estadounidenses cuya información médica privada fue robada irremediablemente sean duraderas.
UHG comenzó a notificar a las personas afectadas a finales de julio y continuó hasta octubre.
Los datos robados varían según el individuo, pero cambia previamente confirmado que incluye información personalcomo nombres y direcciones, fechas de nacimiento, números de teléfono y direcciones de correo electrónico, y documentos de identidad gubernamentales, incluidos números de Seguro Social, números de licencia de conducir y números de pasaporte. Los datos de salud robados incluyen diagnósticos, medicamentos, resultados de pruebas, imágenes y planes de atención y tratamiento, e información sobre seguros médicos, así como información financiera y bancaria encontrada en reclamos y datos de pagos tomados por los delincuentes.
Change Healthcare es uno de los mayores gestores de salud, datos médicos y registros de pacientes, ya que procesa el seguro y la facturación de los pacientes en todo el sector sanitario de EE. UU., incluidos miles de hospitales, farmacias y consultorios médicos. Como tal, Change maneja enormes cantidades de información médica y de salud en alrededor de un tercio de todos los estadounidensesdijo el director ejecutivo de la compañía, Andrew Witty, a los legisladores en mayo.
El ciberataque se hizo público el 21 de febrero cuando Change Healthcare desconectó gran parte de su red para contener a los intrusos, lo que provocó cortes inmediatos en todo el sector sanitario de EE. UU. que dependía de Change para gestionar el seguro y la facturación de los pacientes.
UHG atribuido el ciberataque a ALPHV/BlackCatuna banda de ransomware y extorsión de habla rusa, que luego se atribuyó el mérito del ciberataque.
Los líderes de la banda de ransomware desaparecieron más tarde después de fugarse con un rescate de 22 millones de dólares pagado por el gigante de los seguros médicos, privando a los contratistas del grupo que llevaron a cabo el pirateo de Change Healthcare de su nueva ganancia financiera inesperada. Los contratistas tomaron los datos que robaron de Change Healthcare y formaron un nuevo grupo, que extorsionó a UHG por un segundo rescate, mientras publicaban un parte de los archivos robados en línea en el proceso para demostrar su amenaza.
No hay pruebas de que los ciberdelincuentes borraran posteriormente los datos. Otras bandas extorsionadoras, incluyendo LockBitse ha demostrado que acumulan datos robados, incluso después de que la víctima paga y los delincuentes afirman haber eliminado los datos.
Al pagar el rescate, Change obtuvo una copia del conjunto de datos robadopermitiendo a la empresa identificar y notificar a las personas afectadas cuya información se encontró en los datos.
Hasta ahora, los esfuerzos del gobierno de EE. UU. para atrapar a los piratas informáticos detrás de ALPHV/BlackCat, una de las bandas de ransomware más prolíficas de la actualidad, han fracasado. la pandilla se recuperó tras una operación de derribo en 2023 para apoderarse del sitio de filtración de la web oscura de la pandilla.
Meses después de la violación de Change Healthcare, el El Departamento de Estado de EE.UU. aumentó su recompensa por información sobre el paradero de los ciberdelincuentes ALPHV/BlackCat a 10 millones de dólares.
La consolidación corporativa y la mala seguridad son las culpables de la violación de datos
Partes de la red de Change Healthcare permanecen fuera de línea mientras la empresa continúa recuperándose del ciberataque de febrero. Los legisladores también están investigando la violación y el efecto en los millones de estadounidenses cuyos datos de salud fueron robados irreversiblemente.
Durante una audiencia en la Cámara sobre el ciberataque en abril, el director ejecutivo de UnitedHealth, Witty, confirmó que los ciberdelincuentes irrumpieron en uno de los sistemas de sus empleados utilizando credenciales robadas que no estaban protegidas con autenticación multifactor (MFA), una característica de seguridad que puede ayudar a proteger contra el uso indebido del robo de contraseñas.
Al obtener acceso a un sistema interno crítico utilizando solo una contraseña robada, el grupo de ransomware pudo llegar a otras partes de la red de Change Healthcare e implementar ransomware.
No está claro por qué el sistema no estaba protegido con MFA, pero esto probablemente seguirá siendo una parte clave de las investigaciones en curso por parte de los legisladores y el gobierno. Witty dijo a los legisladores que la organización ha desde que se implementó y ahora aplica MFA tras el ciberataque.
Los legisladores se centraron en cómo UHG maneja tantos datos y genera tantos ingresos y fallaron en la ciberseguridad básica.
Según su informe de ganancias para todo el año 2023, UHG obtuvo 22 mil millones de dólares de ganancias sobre ingresos de 371 mil millones de dólares. Witty ganó 23,5 millones de dólares en compensaciones ejecutivas ese mismo año.
Si bien en este caso se abusó de la falta de MFA, el gran tamaño y la riqueza de datos altamente confidenciales que Change Healthcare recopila y almacena lo convirtieron en un objetivo en sí mismo. dijeron los legisladores.
Change Healthcare se fusionó con el proveedor de atención médica estadounidense Optum en 2022 como parte de un acuerdo de 7.800 millones de dólares con UnitedHealth Group. El acuerdo unió a los dos gigantes de la atención médica bajo UHG y permitió a Optum, que posee grupos médicos y proporciona tecnología y datos a compañías de seguros y servicios de atención médica, un amplio acceso a los registros de pacientes manejados por Change.
UnitedHealth Group ofrece en conjunto a más de 53 millones de clientes estadounidenses planes de beneficios y a otros 5 millones fuera de Estados Unidos, según su último informe de resultados del año completo. Optum presta servicios a unos 103 millones de clientes estadounidenses.
El acuerdo enfrentó el escrutinio de las autoridades antimonopolio federales de EE. UU., que demandada para impedir que UHG compre Change Healthcare y la fusione con Optumargumentando que UnitedHealth obtendría una ventaja competitiva injusta al obtener acceso a “aproximadamente la mitad de todas las reclamaciones de seguro médico de los estadounidenses se aprueban cada año”. Un juez finalmente aprobó el trato.
Según se informa, el Departamento de Justicia comenzó intensificando su investigación sobre UHG y sus posibles prácticas anticompetitivas en los meses previos al hackeo de Change Healthcare.
Actualizado con comentario de UHG.
Leer más:
