Dos meses después de que los piratas informáticos irrumpieran en los sistemas de Change Healthcare robando y luego cifrando datos de la empresa, todavía no está claro cuántos estadounidenses se vieron afectados por el ciberataque.
El mes pasado, Andrew Witty, director ejecutivo de la empresa matriz de Change Healthcare, UnitedHealth Group, dijo que los archivos robados incluyen información de salud personal de «una proporción sustancial de personas en Estados Unidos».
El miércoles, durante una audiencia en la Cámara, cuando se le presionó para que diera una respuesta más definitiva, Witty testificó que la violación afectó “creo que tal vez un tercio [of Americans] o en algún lugar de ese nivel”.
Contáctenos
¿Tiene más información sobre el ataque de ransomware Change Healthcare? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
Witty dijo que se resistía a dar una respuesta más precisa porque la empresa todavía está investigando la infracción y tratando de determinar exactamente cuántas personas se vieron afectadas.
El portavoz de UnitedHealth, Anthony Marusic, no respondió de inmediato a una solicitud de comentarios sobre la estimación de Witty.
Durante una audiencia en el Senado el miércoles, Witty dijo que probablemente pasarán «varios meses» antes de que la compañía pueda comenzar a notificar a las víctimas sobre la violación de datos.
En una declaración escrita presentada por Witty antes de las dos audiencias, el director ejecutivo escribió que «hasta ahora, no hemos visto evidencia de exfiltración de materiales como historiales médicos o historiales médicos completos entre los datos».
Según el testimonio de Witty, los piratas informáticos «utilizaron credenciales comprometidas para acceder de forma remota a un portal Citrix de Change Healthcare», que no estaba protegido por autenticación multifactor, una medida básica de ciberseguridad que agrega un paso adicional para iniciar sesión en cuentas y sistemas.
Si ese portal hubiera tenido habilitada la autenticación multifactor, es posible que la infracción no hubiera ocurrido. Varios senadores interrogaron a Witty sobre ese fracaso, preguntándole si los sistemas UnitedHealth y Change Healthcare ahora están protegidos con autenticación multifactor.
Durante la audiencia en el Senado, Witty dijo: «Tenemos una política aplicada en toda la organización para tener autenticación multifactor en todos nuestros sistemas externos, que ya está vigente».