La violación y robo de datos personales y médicos tras el ransomware en Change Healthcare en febrero del año pasado, se convirtió en la mayor crisis de ciberseguridad sanitaria en la historia de Estados Unidos.
El alcance del ciberataque al proveedor de tecnología sanitaria Change Healthcare, subsidiaria de UnitedHealth, superó con creces las estimaciones iniciales anunciadas por la empresa. Según informó recientemente UnitedHealth, el número de personas afectadas por esta violación de datos asciende a aproximadamente 190 millones, una cifra que casi duplica los 100 millones reportados en octubre de 2024.
Este incidente, que tuvo lugar en febrero del año pasado tras un ciberataque perpetrado por el grupo de ransomware BlackCat o ALPHV, marca un hito alarmante al ser la mayor filtración de datos en el sector sanitario en la historia de Estados Unidos, y una de las más grandes a nivel globa.
“Change Healthcare ha determinado que el número total estimado de personas afectadas por el ciberataque es de aproximadamente 190 millones”, confirmó UnitedHealth Group a medios especializados de ciberseguridad.
La compañía aseguró además que “la gran mayoría de estas personas ya han recibido una notificación individual o sustitutiva”, mientras que los datos finales se enviarán a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) en una fecha futura.
Tal como lo informamos en su momento, los ciberdelincuentes utilizaron credenciales robadas para acceder al sistema de Change Healthcare a través de un servicio de acceso remoto Citrix que carecía de autenticación multifactor. Tras infiltrarse, robaron 6 terabytes de datos, incluyendo información médica, personal y financiera de los pacientes. Además, cifraron equipos críticos, provocando que la empresa suspendiera sus operaciones de TI y plataformas de facturación y reclamaciones.
La interrupción de los servicios de Change Healthcare tuvo un efecto dominó en el sistema sanitario estadounidense, dejando a los médicos y farmacias incapaces de procesar reclamaciones o aceptar descuentos en medicamentos. Esto obligó a muchos pacientes a pagar precios completos por sus tratamientos.
A pesar de que UnitedHealth pagó un rescate de 22 millones de dólares para recuperar el acceso a sus sistemas y evitar la publicación de los datos robados, el caos se intensificó cuando BlackCat desapareció con el dinero sin cumplir su promesa de eliminar los archivos robados. Más tarde, estos datos fueron transferidos al grupo de ransomware RansomHub, el cual comenzó a filtrar información sensible mientras exigía un segundo pago.
Aunque UnitedHealth no ha confirmado oficialmente un segundo rescate, la desaparición de la entrada de Change Healthcare del sitio de filtraciones de RansomHub sugiere que eso pudo haber ocurrido.
El ataque expuso una cantidad alarmante de información confidencial, entre la que se incluyen datos personales como nombres, direcciones, números de teléfono, fechas de nacimiento y números de Seguro Social; información médica, tales como los resultados de pruebas, diagnósticos, medicamentos y tratamientos recibidos; y datos financieros, entre los cuales se encuentran números de cuentas bancarias, reclamaciones de seguros, detalles de facturación y pagos.
UnitedHealth afirmó que, tras analizar más del 90% de los datos robados, no se han encontrado pruebas de que los historiales médicos completos o las bases de datos de registros médicos electrónicos hayan sido exfiltrados. Pese a ello, los especialistas señalan que el volumen y la sensibilidad de la información comprometida representan un grave riesgo para los afectados, quienes podrían enfrentar fraudes financieros y suplantaciones de identidad.
El impacto financiero del ataque también ha sido significativo para UnitedHealth. En abril de 2024, la compañía reportó pérdidas de 872 millones de dólares asociadas al incidente. Para el cierre del tercer trimestre de 2024, estas cifras se habían elevado a 2.450 millones de dólares. Además del daño económico, el episodio ha generado cuestionamientos sobre las medidas de seguridad implementadas por la empresa y su capacidad para manejar datos sensibles.
La falta de autenticación multifactor en sistemas críticos y la gestión de los rescates han sido puntos particularmente criticados.
Además, UnitedHealth no ha entregado una explicación sobre cómo se descubrieron los 90 millones de víctimas adicionales a las reportadas en octubre pasado, ni sobre las medidas que se están tomando para prevenir futuros incidentes.