UnitedHealth confirma que el hackeo de datos afectó a 100 millones de estadounidenses

La empresa UnitedHealth confirmó, por primera vez, que los datos de 100 millones de ciudadanos estadounidenses se vieron expuestos a un ataque informático a principios de año.

El ciberataque de febrero tuvo como objetivo la unidad Change Healthcare de UnitedHealth. La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos recibió la notificación de Change Healthcare de que «se han enviado aproximadamente 100 millones de notificaciones individuales en relación con esta violación», según una actualización del 24 de octubre en el sitio web de la agencia federal con su portal de violación de datos que refleja las cifras revisadas.

En mayo, durante una audiencia del Subcomité de Supervisión e Investigaciones de la Cámara de Representantes sobre el incidente de piratería informática, el consejero delegado de UnitedHealth, Sir Andrew Witty, dijo a los legisladores que la filtración había afectado a un tercio de los estadounidenses, que podrían haber visto filtrada su información médica confidencial a la red oscura. La cifra de 100 millones de personas afectadas convierte el incidente en la mayor filtración de datos médicos de la historia del país.

Según el informe del tercer trimestre de UnitedHealth Group, publicado este mes, el costo total anual estimado del ciberataque fue de 2870 millones de dólares, frente a los 2450 millones estimados en julio. Los ingresos de la corporación aumentaron casi 8500 millones de dólares, hasta los 100,800 millones, en el tercer trimestre, con un incremento anual de 2.4 millones de clientes nacionales comerciales.

Según Change Healthcare (CHC), la violación de datos podría ser diferente para cada persona afectada, con información como nombre y apellidos, dirección, fecha de nacimiento, número de teléfono y correo electrónico que caería en manos de agentes malintencionados.

Aparte de la identificación básica, los piratas informáticos habrían obtenido información sobre el seguro médico, incluidos los planes de salud primario, secundario o de otro tipo.

Otra información afectada incluye datos de facturación, reclamaciones y pagos, como tarjetas de pago, información financiera y bancaria, números de la Seguridad Social, carnés de conducir o números de identificación estatales y números de pasaporte. Esta información podría estar relacionada con pacientes o fiadores que pagaron facturas por servicios de atención médica.

Según un informe del Subcomité de Supervisión e Investigaciones publicado en mayo, «el ataque se produjo porque UnitedHealth no estaba utilizando la autenticación multifactor [MFA], una práctica estándar en el sector, para proteger uno de sus sistemas más críticos».

Se pagaron 22 millones de dólares en Bitcoin como rescate, y el CEO Witty confirmó que los hackers no hicieron copias de datos protegidos o personales ni los subieron a Internet.

«Change Healthcare era una empresa relativamente antigua con tecnologías más viejas, en las que hemos estado trabajando para mejorar desde la adquisición», dijo Witty. «Pero por alguna razón, que seguimos investigando, este servidor en particular no tenía contenido el MFA».

UnitedHealth, con sede en Minneapolis, Minnesota, es la mayor compañía de seguros médicos de Estados Unidos y presta servicios a 149 millones de personas a través de casi 400,000 empleados en todo el país.

Ciberriesgos en el sector de la salud

El ciberataque a Change Healthcare tuvo un enorme impacto en el sector, dado que la empresa realiza 15,000 millones de transacciones de asistencia sanitaria al año y uno de cada tres historiales de pacientes estadounidenses pasa por su sistema.

Según una encuesta publicada por la Asociación Médica Estadounidense a finales de abril, la gran mayoría de los encuestados afrontaron importantes retos tras la filtración, como problemas para verificar la elegibilidad de los pacientes, obstáculos en la presentación de reclamaciones e interrupciones en el pago de las mismas. Los encuestados tuvieron que afrontar estos problemas a pesar de que UnitedHealth aseguró que los servicios se habían restablecido.

Un informe del 17 de septiembre de Check Point Research reveló que el sector médico es el tercer objetivo más común de los ciberataques.

Entre enero y septiembre de 2024, el promedio semanal de ataques por entidad de atención médica fue de 2018, un 32% más que en el mismo período del año pasado.

«Los hospitales y los pacientes con frecuencia son blanco de ataques de ‘ransomware’ bien coordinados. Los grupos de ‘ransomware’ (una clase de malware) proporcionan herramientas de cifrado e infraestructura a los colaboradores, y los datos confidenciales robados se publican a menudo en Internet para presionar a las víctimas a pagar», señala el informe.

«Esta táctica aprovecha el miedo a las cuantiosas multas por violación de la privacidad y el riesgo para la seguridad de los pacientes o el funcionamiento de los hospitales».

La Asociación Americana de Hospitales (AHA) señaló en un post que las entidades sanitarias son «especialmente vulnerables y objetivo» de los ciberataques, ya que poseen grandes cantidades de información que tienen un alto valor intelectual o monetario para quienes las roban.

Los historiales médicos robados pueden venderse hasta 10 veces más caros que los números de tarjetas de crédito robados, señaló. En cuanto a las organizaciones de atención médica, el gasto en que se incurre para hacer frente a estos incidentes de seguridad puede ser enorme.

«El costo de subsanar una brecha en el sector de atención médica es casi tres veces superior al de otros sectores, con un promedio de 408 dólares por registro de atención médica robado frente a 148 dólares por registro no sanitario robado», declaró la AHA.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí