El gigante de servicios empresariales Conduent confirmó que un ataque de ransomware comprometió información personal y médica de millones de usuarios en los Estados Unidos el año 2024, tras casi tres meses de acceso no autorizado a sus sistemas.
El proveedor estadounidense de servicios empresariales y contratista del gobierno Conduent Business Services confirmó que una brecha de datos ocurrida en 2024 afectó a más de 10,5 millones de personas en todo Estados Unidos. La compañía, que ofrece soluciones tecnológicas a agencias estatales y federales, reconoció que una intrusión no detectada durante casi tres meses permitió a atacantes acceder a su entorno corporativo y exfiltrar grandes volúmenes de información sensible.
Según documentos presentados ante las oficinas de los fiscales generales de varios estados, el acceso ilícito comenzó el 21 de octubre de 2024 y fue detectado recién el 13 de enero de 2025. Durante ese período, los atacantes lograron robar archivos que contenían nombres, números de Seguridad Social, fechas de nacimiento, información médica y detalles de seguros de salud de millones de personas.
La empresa comenzó a notificar a los afectados el pasado mes de octubre, siendo Oregón el estado más impactado, con 10,5 millones de personas afectadas. También se reportaron más de 400 mil víctimas en Texas, 76 mil en el estado de Washington y varios cientos en el estado de Maine, según los avisos estatales.
Conduent explicó que la investigación, realizada junto a expertos externos en ciberseguridad, determinó que el grupo de ransomware SafePay fue responsable del ataque. Esta banda criminal, activa desde octubre de 2024, se atribuyó la autoría en febrero de 2025 y afirmó haber robado 8,5 terabytes de datos.
“Tras descubrir el incidente, restauramos de forma segura nuestros sistemas y notificamos a las autoridades competentes”, indicó un portavoz de Conduent. La compañía aseguró que, hasta la fecha, no hay evidencia de que los datos hayan sido difundidos públicamente ni vendidos en la dark web. Sin embargo, los informes oficiales revelan que la red estuvo comprometida durante meses, lo que ha generado preocupación entre las agencias públicas con las que trabaja.
Conduent gestiona servicios esenciales como pagos de beneficios estatales, programas de salud pública, asistencia alimentaria, peajes y soporte de atención ciudadana, procesando más de 2.300 millones de interacciones al año y 85 mil millones de dólares en pagos gubernamentales.
El ataque provocó interrupciones en los sistemas de varios estados, afectando temporalmente la distribución de pagos a beneficiarios de programas sociales. En su presentación ante la Comisión de Bolsa y Valores (SEC), la empresa señaló que había destinado más de dos millones de dólares a las tareas de investigación y recuperación, parte de las cuales serían cubiertas por su póliza de seguro cibernético.
Pese a la magnitud del incidente, Conduent no ofreció servicios de monitoreo de identidad ni protección contra fraude a los afectados, aunque recomendó revisar informes crediticios y colocar alertas de seguridad.
El HIPAA Journal clasificó esta filtración como la octava mayor brecha de datos en el sector sanitario de la historia, dada la cantidad de información médica involucrada.