UnitedHealth confirmó, por primera vez, que los datos de 100 millones de ciudadanos estadounidenses se vieron comprometidos en el hackeo de principios de año.
El ciberataque de febrero tuvo como objetivo la unidad Change Healthcare de UnitedHealth. Change Healthcare notificó a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. que «se han enviado aproximadamente 100 millones de notificaciones individuales en relación con esta violación», según una actualización del 24 de octubre en el sitio web de la agencia federal con su portal de violación de datos que refleja las cifras revisadas.
Según el informe del tercer trimestre de UnitedHealth Group, publicado este mes, el coste total anual estimado del ciberataque asciende a 2870 millones de dólares, frente a los 2450 millones estimados en julio. Los ingresos de la corporación aumentaron casi 8500 millones de dólares, hasta los 100,800 millones, en el tercer trimestre, con un incremento anual de 2.4 millones de clientes domésticos comerciales.
Según Change Healthcare (CHC), la violación de datos podría ser diferente para cada individuo afectado, con información como nombre y apellidos, dirección, fecha de nacimiento, número de teléfono y correo electrónico cayendo en manos de actores maliciosos.
Aparte de la identificación básica, los hackers habrían obtenido información sobre seguros médicos, incluidos planes o pólizas de salud primarios, secundarios o de otro tipo, compañías de seguros y números de identificación de pagadores de Medicaid-Medicare-gobierno, así como números de historiales médicos, proveedores, diagnósticos, medicamentos, resultados de pruebas, imágenes, cuidados y tratamientos.
Otros datos vulnerados incluyen información sobre facturación, reclamaciones y pagos, como tarjetas de pago, información financiera y bancaria, números de la Seguridad Social, licencias de conducir o números de identificación estatales y números de pasaporte. Esta información podría estar relacionada con pacientes o garantes que pagaron facturas por servicios de atención médica.
«El ataque se produjo porque UnitedHealth no estaba utilizando la autenticación multifactor [MFA], que es una práctica estándar de la industria, para asegurar uno de sus sistemas más críticos», según un informe del Subcomité de Supervisión e Investigaciones publicado en mayo.
Se pagaron 22 millones de dólares en Bitcoin como rescate, y el CEO Witty confirmó que los hackers no hicieron copias de datos protegidos o personales ni los subieron a Internet.
«Change Healthcare era una empresa relativamente antigua con tecnologías más viejas, que habíamos estado trabajando para actualizar desde la adquisición», dijo Witty. «Pero por alguna razón, que seguimos investigando, este servidor en particular no tenía MFA en él».
Con sede en Minneapolis (Minnesota), UnitedHealth es la mayor compañía de seguros médicos de Estados Unidos y presta servicios a 149 millones de personas a través de casi 400,000 empleados en todo el país.
Ciberriesgos en el sector de la salud
El ciberataque de Change Healthcare tuvo un enorme impacto en el sector, dado que la empresa realiza 15,000 millones de transacciones sanitarias al año y uno de cada tres historiales de pacientes estadounidenses pasa por su sistema.
Según una encuesta publicada por la Asociación Médica Estadounidense a finales de abril, la gran mayoría de los encuestados se enfrentaron a importantes retos tras la filtración, como problemas para verificar la elegibilidad de los pacientes, obstáculos en la presentación de reclamaciones e interrupciones en el pago de las mismas. Los encuestados se enfrentaron a estos problemas a pesar de que UnitedHealth afirmó que los servicios se habían restablecido.
Un informe del 17 de septiembre de Check Point Research reveló que el sector de la salud es el tercer objetivo más común de los ciberataques.
Entre enero y septiembre de 2024, el promedio semanal de ataques por entidad sanitaria fue de 2018, un 32% más que en el mismo periodo del año pasado.
«Los hospitales y los pacientes son con frecuencia el objetivo de ataques de ransomware bien coordinados. Los grupos de ransomware proporcionan herramientas de cifrado e infraestructura a los colaboradores, y los datos confidenciales robados se publican a menudo en Internet para presionar a las víctimas a pagar», señala el informe.
«Esta táctica aprovecha el miedo a las cuantiosas multas por violación de la privacidad y el riesgo para la seguridad de los pacientes o el funcionamiento de los hospitales».
La Asociación Americana de Hospitales (AHA) señaló en un posteo que las entidades sanitarias son «especialmente vulnerables y objetivo» de los ciberataques, ya que poseen grandes cantidades de información que tienen un alto valor intelectual o monetario para quienes las roban.
Los historiales médicos robados pueden venderse hasta 10 veces más caros que los números de tarjetas de crédito robados, señalaba. En cuanto a las organizaciones sanitarias, los gastos derivados de estos incidentes de seguridad pueden ser enormes.
«El coste de subsanar una brecha en el sector sanitario es casi tres veces superior al de otros sectores, con un promedio de 408 dólares por expediente sanitario robado frente a 148 dólares por expediente no sanitario robado», declaró la AHA.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
