Mientras los sistemas de salud de EE. UU. siguen lidiando con un ataque de ransomware sin precedentes contra el procesador de pagos de atención médica más grande del país, el Departamento de Salud y Servicios Humanos de EE. UU. está abriendo una investigación para determinar si ese procesador y su empresa matriz, UnitedHealthcare Group, cumplieron con las normas federales. Normas para proteger los datos privados de los pacientes.
El ataque tuvo como objetivo Change Healthcare, una unidad de UnitedHealthcare Group (UHG) que brinda servicios financieros a decenas de miles de proveedores de atención médica en todo el país, incluidos médicos, dentistas, hospitales y farmacias. Según una demanda antimonopolio presentada contra UHG por el Departamento de Justicia en 2022, el 50 por ciento de todos los reclamos médicos en los EE. UU. pasan por la cámara de compensación de intercambio electrónico de datos de Change Healthcare. (El Departamento de Justicia perdió su caso para impedir la adquisición de Change Healthcare por parte de UHG y el año pasado abandonó los planes de apelación).
Como informó Ars anteriormente, el ataque fue revelado el 21 de febrero por la filial de UHG, Optum, que ahora dirige Change Healthcare. El 29 de febrero, UHG acusó de ser responsable a la famosa banda de ransomware de habla rusa conocida como AlphV y BlackCat. Según The Washington Post, el ataque implicó robar datos de pacientes, cifrar archivos de la empresa y exigir dinero para desbloquearlos. El resultado es una parálisis en el procesamiento de reclamaciones y pagos, lo que hace que los hospitales se queden sin efectivo para nóminas y servicios e impide que los pacientes obtengan atención y recetas. Además, se cree que el ataque expuso los datos de salud de millones de pacientes estadounidenses.
A principios de este mes, Rick Pollack, presidente y director ejecutivo de la Asociación Estadounidense de Hospitales, calificó el ataque de ransomware a Change Healthcare como «el incidente más significativo y con mayores consecuencias de su tipo contra el sistema de atención médica de Estados Unidos en la historia».
Ahora, tres semanas después del ataque, muchos sistemas de salud siguen teniendo problemas. El martes, miembros de la administración Biden se reunieron con el director ejecutivo de UHG, Andrew Witty, y otros líderes de la industria de la salud en la Casa Blanca para exigir que hagan más para estabilizar la situación de los proveedores y servicios de atención médica y brindar asistencia financiera. Es posible que se vislumbren algunas mejoras; El miércoles, UHG publicó una actualización que decía que «todas las principales farmacias y sistemas de pago están funcionando y más del 99 por ciento del volumen de reclamos previo al incidente está fluyendo».
Cumplimiento de HIPAA
Aun así, la filtración de datos deja grandes interrogantes sobre el alcance del daño a la privacidad del paciente y la idoneidad de las protecciones en el futuro. En un acontecimiento adicional el miércoles, la Oficina de Derechos Civiles (OCR) del departamento de salud anunció que abrirá una investigación sobre UHG y Change Healthcare por el incidente. Señaló que dicha investigación estaba justificada «dada la magnitud sin precedentes de este ciberataque y en el mejor interés de los pacientes y los proveedores de atención médica».
En una carta «Estimado colega» fechada el miércoles, la OCR explicó que la investigación «se centrará en si se produjo una violación de la información de salud protegida y en el cumplimiento de las normas HIPAA por parte de Change Healthcare y UHG». HIPAA es la Ley de Responsabilidad y Portabilidad del Seguro Médico, que establece requisitos de privacidad y seguridad para la información médica protegida, así como requisitos de notificación de incumplimiento.
En una declaración a la prensa, UHG dijo que cooperaría con la investigación. «Nuestro objetivo inmediato es restaurar nuestros sistemas, proteger los datos y apoyar a aquellos cuyos datos puedan haber sido afectados», se lee en el comunicado. «Estamos trabajando con las autoridades para investigar el alcance de los datos afectados».
El Post señala que el gobierno federal tiene un historial de investigar y penalizar a organizaciones de atención médica por no implementar salvaguardias adecuadas para evitar violaciones de datos. Por ejemplo, el proveedor de seguros médicos Anthem pagó un acuerdo de 16 millones de dólares en 2020 por una violación de datos de 2015 que expuso los datos privados de casi 79 millones de personas. Los datos expuestos incluían nombres, números de Seguro Social, números de identificación médica, direcciones, fechas de nacimiento, direcciones de correo electrónico e información laboral. La investigación de la OCR sobre la violación descubrió que el ataque comenzó con correos electrónicos de phishing de los que se enamoró al menos un empleado de una subsidiaria de Anthem, abriendo la puerta a más intrusiones que no fueron detectadas entre el 2 de diciembre de 2014 y el 27 de enero de 2015.
«Desafortunadamente, Anthem no implementó medidas apropiadas para detectar piratas informáticos que habían obtenido acceso a su sistema para recopilar contraseñas y robar información privada de las personas», dijo en ese momento el director de la OCR, Roger Severino. «Sabemos que las grandes entidades de atención médica son objetivos atractivos para los piratas informáticos, por lo que se espera que tengan políticas de contraseñas sólidas y que supervisen y respondan a los incidentes de seguridad de manera oportuna o apliquen riesgos mediante la OCR».