UnitedHealth Group, entidad que controla Change Healthcare, de uno de los mayores gestores de atención de salud de los Estados Unidos y que sufrió un incidente que paralizó la atención médica que gran parte de ese país en febrero pasado, admitió esta semana el pago de un rescate de 22 millones de dólares al grupo de ransomware BlackCat/AlphV durante la evolución de ese ciberataque.
Andrew Witty, Director Ejecutivo de UnitedHealth, reveló esta información durante una audiencia pública ante el Senado de los Estados Unidos.
El ejecutivo indicó que la raíz del ciberataque fue un servidor dentro de los sistemas de Change Healthcare que no tenía habilitada la autenticación multifactor. De acuerdo con el testimonio de Witty, lo actores maliciosos utilizaron «credenciales comprometidas», que pueden haber incluido contraseñas robadas, para ingresar al sistema de Change.
Como consecuencia del ciberataque, se desató un incidente que interrumpió el procesamiento de pagos de salud, así como la prescripción médica en diferentes centros asistenciales.
Para contener el ransomware, UnitedHealth desconectó rápidamente los sistemas afectados y se vio obligada a pagar el millonario rescate exigido por la banda cibercriminal.
Change Healthcare fue adquirida hace dos años por UnitedHealth, y desde entonces, ésta última habí iniciado un proceso de mejora tecnológica en los sistemas del proveedor de salud. Pese a ello, el ejecutivo indicó que estaban “increíblemente frustrados” al enterarse de la falta de autenticación multifactor, que sí es un estándar en UnitedHealth.
Tras el incidente, el ejecutivo indicó que habían «construido literalmente esta plataforma desde cero para poder asegurar a la gente que no hay elementos del antiguo entorno atacado dentro de la nueva tecnología», y aseguró al panel de senadores que todos los sistemas centrales de la empresa ahora eran completamente funcionales, incluyendo el sistema de pago de reclamaciones y el procesamiento de farmacias.
La entidad dijo, a principios de abril, que durante el ciberataque existió la posibilidad información personal que podría involucrar a una «parte sustancial de la gente en Estados Unidos», pero señaló que hasta el momento no hay evidencia que sugiera que los expedientes médicos o los historiales médicos completos de las personas hayan sido robados.
La entidad también indicó que estaba monitoreando los foros en línea donde los piratas informáticos tienden a filtrar o intercambiar dichos paquetes de datos.
El mes de marzo, la Oficina de Derechos Civiles se pronunció y anunció una investigación para determinar si la información médica protegida estuvo expuesta y si Change Healthcare siguió las leyes que protegen la privacidad del paciente.
Finalmente, el ejecutivo también señaló que UnitedHealth entiende que «este ataque ha causado preocupación y ha sido perjudicial para los consumidores y proveedores y estamos comprometidos a hacer todo lo posible para ayudar y brindar apoyo a cualquiera que lo necesite”.