Un ciberataque a EE.UU. El gigante de la tecnología sanitaria Change Healthcare ha paralizado gran parte del sistema sanitario de EE. UU. por segunda semana consecutiva.
Los hospitales no han podido verificar los beneficios del seguro de las estadías de pacientes hospitalizados, manejar las autorizaciones previas necesarias para los procedimientos y cirugías de los pacientes, ni procesar la facturación que paga los servicios médicos. Las farmacias han luchado por determinar cuánto cobrar a los pacientes por las recetas sin acceso a sus registros de seguro médico, lo que ha obligado a algunas a pagar costosos medicamentos de su bolsillo en efectivo, mientras que otras no pueden afrontar los costos.
Desde que Change Healthcare cerró repentinamente su red el 21 de febrero en un esfuerzo por contener a los intrusos digitales, algunos proveedores de atención médica y farmacias más pequeños advierten sobre la caída de sus reservas de efectivo mientras luchan por pagar sus facturas y personal sin el flujo constante de reembolsos de los gigantes de seguros. .
La empresa matriz de Change Healthcare, UnitedHealth Group, dijo en una presentación ante los reguladores gubernamentales el viernes que la empresa de tecnología sanitaria estaba logrando «progresos sustanciales» en la restauración de sus sistemas afectados.
A medida que se vuelve más claro el impacto a corto plazo de las interrupciones en curso en pacientes y proveedores, quedan dudas sobre la seguridad de la información médica altamente confidencial de millones de personas manejada por Change Healthcare.
Desde Rusia, una prolífica banda de ransomware que se atribuyó el mérito del ciberataque a Change Healthcare afirmó (sin publicar pruebas aún) haber robado enormes bancos que contenían millones de datos médicos privados de pacientes de los sistemas del gigante de la tecnología de la salud. En un nuevo giro, la banda de ransomware ahora parece haber fingido su propia desaparición y desapareció del mapa después de recibir un pago de rescate por valor de millones en criptomonedas.
Si se han robado datos de pacientes, las consecuencias para los pacientes afectados probablemente serán irreversibles y duraderas para toda la vida.
Change Healthcare es uno de los facilitadores de datos médicos y de salud y registros de pacientes más grandes del mundo y maneja miles de millones de transacciones de atención médica anualmente. Desde 2022, el gigante de la tecnología sanitaria es propiedad de UnitedHealth Group, el mayor proveedor de seguros médicos de Estados Unidos. Cientos de miles de médicos y dentistas, así como decenas de miles de farmacias y hospitales en todo Estados Unidos, dependen de él para facturar a los pacientes de acuerdo con lo que les permiten los beneficios de su seguro médico.
Ese tamaño presenta un riesgo particular. Los funcionarios antimonopolio estadounidenses entablaron una demanda sin éxito para impedir que UnitedHealth comprara Change Healthcare y la fusionara con su filial de atención médica Optum, argumentando que UnitedHealth obtendría una ventaja competitiva injusta al obtener acceso a «aproximadamente la mitad de las reclamaciones de seguro médico de todos los estadounidenses pasan cada año».
Por su parte, Change Healthcare ha evitado en repetidas ocasiones decir hasta ahora si los datos de los pacientes se han visto comprometidos en el ciberataque. Eso no ha apaciguado a los ejecutivos de atención médica que temen que las consecuencias del ciberataque relacionadas con los datos aún estén por llegar.
En una carta del 1 de marzo al gobierno de Estados Unidos, la Asociación Médica Estadounidense advirtió sobre “importantes preocupaciones sobre la privacidad de los datos” en medio del temor de que el incidente “causó amplias violaciones de la información de pacientes y médicos”. El presidente de AMA, Jesse Ehrenfeld, fue citado por periodistas diciendo que Change Healthcare no ha proporcionado «ninguna claridad sobre qué datos fueron comprometidos o robados».
Un director de ciberseguridad de un gran sistema hospitalario de EE. UU. dijo a TechCrunch que, aunque están en contacto regular con Change y UnitedHealth, hasta ahora no han oído nada sobre la seguridad o integridad de los registros de los pacientes. El director de ciberseguridad expresó su alarma ante la posibilidad de que los piratas informáticos publiquen en línea los datos confidenciales robados de los pacientes.
Esta persona dijo que las comunicaciones de Change, que han aumentado gradualmente desde sugerir que los datos podrían haber sido exfiltrados, hasta reconocer una investigación activa con varias empresas de respuesta a incidentes, sugieren que es solo cuestión de tiempo antes de que sepamos cuánto se ha robado. y de quién. Los clientes soportarán parte de la carga de este hack, dijo esta persona, que pidió no ser citada por su nombre ya que no está autorizada a hablar con la prensa.
Una banda de ransomware realiza una ‘estafa de salida’
Ahora, los piratas informáticos parecen haber desaparecido, lo que aumenta la imprevisibilidad de la situación.
UnitedHealth inicialmente atribuyó el ciberataque a piratas informáticos no especificados respaldados por el gobierno, pero luego se retractó de esa afirmación y posteriormente culpó al grupo de cibercrimen de ransomware y extorsión con sede en Rusia llamado ALPHV (también conocido como BlackCat), que no tiene vínculos conocidos con ningún gobierno. .
Las bandas de ransomware y extorsión tienen motivaciones financieras y normalmente emplean tácticas de doble extorsión: primero codifican los datos de la víctima con malware de cifrado de archivos, luego se roban una copia y amenazan con publicar los datos en línea si no se paga su demanda de rescate.
El 3 de marzo, un afiliado de ALPHV/BlackCat (en la práctica, un contratista que gana una comisión por los ataques cibernéticos que lanzan utilizando el malware de la banda de ransomware) se quejó en una publicación en un foro de cibercrimen afirmando que ALPHV/BlackCat estafó al afiliado con sus ganancias. El afiliado afirmó en la publicación que ALPHV/BlackCat robó el rescate de 22 millones de dólares que supuestamente pagó Change Healthcare para descifrar sus archivos y evitar la filtración de datos, como informó por primera vez el veterano observador de seguridad DataBreaches.net.
Como prueba de sus afirmaciones, el afiliado proporcionó la dirección exacta de la billetera criptográfica que ALPHV/BlackCat había utilizado dos días antes para supuestamente recibir el rescate. La billetera mostró una única transacción por valor de 22 millones de dólares en bitcoins en el momento del pago.
El afiliado agregó que a pesar de haber perdido su parte del rescate, los datos robados “todavía están con nosotros”, lo que sugiere que el afiliado agraviado todavía tiene acceso a una gran cantidad de datos médicos y de pacientes confidenciales robados.
UnitedHealth se negó a confirmar a los periodistas si pagó el rescate de los piratas informáticos y, en cambio, dijo que la compañía está concentrada en su investigación. Cuando TechCrunch preguntó a UnitedHealth si cuestionaba los informes de que había pagado un rescate, un portavoz de la empresa no respondió.
Para el 5 de marzo, el sitio web de ALPHV/BlackCat había desaparecido en lo que los investigadores creen que es una estafa de salida, donde los piratas informáticos se escapan con su nueva fortuna para no volver a ser vistos nunca más, o permanecen ocultos y se reforman más tarde como una nueva pandilla.
El sitio web oscuro de la pandilla fue reemplazado por una pantalla de presentación que pretendía ser un aviso de incautación policial. En diciembre, una operación policial global derribó partes de la infraestructura de ALPHV/BlackCat, pero la pandilla regresó y pronto comenzó a atacar a nuevas víctimas. Pero esta vez, los investigadores de seguridad sospechoso el propio engaño de la pandilla en juego, en lugar de otro esfuerzo legal de derribo.
Un portavoz de la Agencia Nacional contra el Crimen del Reino Unido, que participó en la operación inicial de interrupción de ALPHV/BlackCat el año pasado, dijo a TechCrunch que el sitio web aparentemente incautado de ALPHV/BlackCat «no es el resultado de la actividad de la NCA». Otras agencias policiales globales también negaron su participación en la repentina desaparición del grupo.
No es raro que las bandas de ciberdelincuentes se reformen o cambien de marca como una forma de deshacerse de problemas de reputación, el tipo de cosas que uno podría hacer después de haber sido arrestado por una acción policial o de quedarse con las ganancias ilícitas de un afiliado.
Incluso con el pago realizado, no hay garantía de que los piratas informáticos eliminen los datos. Una reciente acción policial global destinada a interrumpir la prolífica operación de ransomware LockBit encontró que la banda de ciberdelincuentes no siempre eliminaba los datos de la víctima como afirmaba que lo haría si se pagara un rescate. Las empresas han comenzado a reconocer que pagar un rescate no garantiza la devolución de sus archivos.
Para quienes están en la primera línea de la ciberseguridad sanitaria, el peor de los casos es que los registros de pacientes robados se hagan públicos.
La seguridad del paciente y los impactos económicos de esto se sentirán durante años, dijo a TechCrunch el director de ciberseguridad del hospital.
¿Trabaja en Change Healthcare, Optum o UnitedHealth y sabe más sobre el ciberataque? Póngase en contacto por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.