El proveedor de seguros médicos UnitedHealth pagó un rescate multimillonario a los piratas informáticos que irrumpió en una de sus filialesinterrumpiendo a los proveedores de atención médica en todo el país durante meses, confirmó el miércoles el director ejecutivo Andrew Witty.

En una audiencia ante el Comité de Finanzas del Senado, Witty dijo que la decisión de pagar el rescate de 22 millones de dólares fue enteramente suya. «Esta fue una de las decisiones más difíciles que he tenido que tomar», dijo. UnitedHealth admitido el mes pasado que había pagado un rescate a los piratas informáticos que violaron el sistema Change Healthcare, que es propiedad de UnitedHealth, pero no reveló la suma. En marzo, la empresa atribuyó la infracción a BlackCat, la misma entidad responsable del hackeo del casino MGM de Las Vegas. Ese mismo mes, cableado reportado que BlackCat, que también se llama ALPHV, recibió una transacción de 22 millones de dólares en Bitcoin el 1 de marzo.

BlackCat afirmó anteriormente que obtuvo más de seis terabytes de datos como parte del hack, que llevó a cabo en febrero de este año. La banda de ransomware dijo que los datos incluían registros médicos «sensibles». según noticias CBS.

«Los delincuentes utilizaron credenciales comprometidas para acceder de forma remota al portal Citrix de Change Healthcare, una aplicación utilizada para permitir el acceso remoto a los escritorios», dijo Witty durante su testimonio, y agregó que el portal «no tenía autenticación multifactor».

«Este ataque podría haberse detenido con ciberseguridad 101», dijo el senador Ron Wyden (D-OR), presidente del comité. Después de que Witty confirmara que United requerirá autenticación multifactor en toda la empresa en el futuro, Wyden dijo que «no debería haber sufrido el peor ciberataque jamás visto en el sector de la salud para llegar a un acuerdo que hiciera esto como mínimo».

Los efectos del hackeo fueron de gran alcance. Después de que se descubrió la infracción, United cerró el sistema Change Healthcare durante una semana, lo que impidió que se les pagara a hospitales, clínicas y farmacias de todo el país. Durante la audiencia, Witty dijo que el sistema ahora “ha vuelto prácticamente a la normalidad”. Pero algunos senadores le dijeron a Witty que los hospitales y otros proveedores de atención médica todavía están esperando los pagos. Wyden (D-OR) le dijo a Witty que a algunos proveedores que presentaron reclamos en febrero se les dijo que tendrían que esperar hasta junio para recibir el pago.

UnitedHealth gestiona más de un tercio de todos los registros de pacientes en EE. UU. y supervisa a 1 de cada 10 médicos en todo el país, según una carta La Asociación Estadounidense de Hospitales envió al Departamento de Salud y Servicios Humanos en marzo. En sus comentarios de apertura, Wyden llamó a United un “leviatán de la atención médica” y describió el ataque como una “advertencia terrible sobre las consecuencias de las megacorporaciones demasiado grandes para quebrar”.

Gigante de los seguros médicos UnitedHealth Group ha confirmado que un ataque de ransomware a su filial de tecnología sanitaria Change Healthcare a principios de este año resultó en un enorme robo de datos sanitarios privados de los estadounidenses.

UnitedHealth dijo en un comunicado el lunes que una banda de ransomware tomó archivos que contienen datos personales e información de salud protegida que, según dice, puede «cubrir una proporción sustancial de personas en Estados Unidos».

El gigante de los seguros médicos no dijo cuántos estadounidenses se ven afectados, pero dijo que la revisión de los datos “probablemente tomaría varios meses” antes de que la compañía comenzara a notificar a las personas que su información fue robada en el ciberataque.

Change Healthcare procesa seguros y facturación para cientos de miles de hospitales, farmacias y consultorios médicos en todo el sector sanitario de EE. UU.; tiene acceso a cantidades masivas de información de salud sobre aproximadamente la mitad de todos los estadounidenses.

UnitedHealth dijo que aún no había visto evidencia de que los historiales médicos o los historiales médicos completos hubieran sido extraídos de sus sistemas.

La admisión de que los piratas informáticos robaron datos de salud de los estadounidenses se produce una semana después de que un nuevo grupo de piratas informáticos comenzara a publicar partes de los datos robados en un esfuerzo por extorsionar a la empresa para que exigiera un segundo rescate.

La pandilla, que se hace llamar RansomHub, publicó varios archivos en su sitio de filtración en la web oscura que contienen información personal sobre pacientes en una variedad de documentos, algunos de los cuales incluían archivos internos relacionados con Change Healthcare. RansomHub dijo que vendería los datos robados a menos que Change Healthcare pagara un rescate.

En una declaración proporcionada a TechCrunch, el portavoz de UnitedHealth, Tyler Mason, confirmó que la empresa pagó a los ciberdelincuentes. «Se pagó un rescate como parte del compromiso de la empresa de hacer todo lo posible para proteger los datos de los pacientes contra la divulgación». La empresa no confirmó el monto que pagó.

RansomHub es la segunda pandilla que exige un rescate a Change Healthcare. Según se informa, el gigante de la tecnología sanitaria pagó 22 millones de dólares a una banda criminal con sede en Rusia llamada ALPHV en marzo, que luego desapareció, privando a la filial que llevó a cabo el robo de datos de su parte del rescate.

RansomHub afirmó en su publicación junto con los datos robados publicados que «nosotros tenemos los datos y no ALPHV».

En su declaración del lunes, UnitedHealth reconoció la publicación de algunos de los archivos, pero no llegó a reclamar la propiedad de los documentos. «Esta no es una notificación oficial de incumplimiento», dijo UnitedHealth.

El Wall Street Journal informó el lunes que la filial de piratería criminal de ALPHV irrumpió en la red de Change Healthcare utilizando credenciales robadas para un sistema que permite el acceso remoto a su red. Los piratas informáticos estuvieron en la red de Change Healthcare durante más de una semana antes de implementar ransomware, lo que les permitió robar cantidades significativas de datos de los sistemas de la empresa.

El ciberataque a Change Healthcare comenzó el 21 de febrero y provocó cortes generalizados en farmacias y hospitales de todo Estados Unidos. Durante semanas, los médicos, farmacias y hospitales no pudieron verificar los beneficios para los pacientes al dispensar medicamentos, organizar la atención hospitalaria o procesar las autorizaciones previas necesarias para cirugías.

Gran parte del sistema de salud de EE. UU. quedó paralizado, y los proveedores de atención médica enfrentan presiones financieras a medida que crecen los retrasos y persisten los cortes.

UnitedHealth informó la semana pasada que el ataque de ransomware le ha costado más de 870 millones de dólares en pérdidas. La compañía informó que obtuvo 99.800 millones de dólares en ingresos durante los primeros tres meses del año, obteniendo mejores resultados de lo que esperaban los analistas de Wall Street.

El director ejecutivo de UnitedHealth, Andrew Witty, quien recibió cerca de $21 millones en compensación total durante todo el año 2022, testificará ante los legisladores de la Cámara el 1 de mayo.

Actualizado con comentarios de UnitedHealth.

Mientras los sistemas de salud de EE. UU. siguen lidiando con un ataque de ransomware sin precedentes contra el procesador de pagos de atención médica más grande del país, el Departamento de Salud y Servicios Humanos de EE. UU. está abriendo una investigación para determinar si ese procesador y su empresa matriz, UnitedHealthcare Group, cumplieron con las normas federales. Normas para proteger los datos privados de los pacientes.

El ataque tuvo como objetivo Change Healthcare, una unidad de UnitedHealthcare Group (UHG) que brinda servicios financieros a decenas de miles de proveedores de atención médica en todo el país, incluidos médicos, dentistas, hospitales y farmacias. Según una demanda antimonopolio presentada contra UHG por el Departamento de Justicia en 2022, el 50 por ciento de todos los reclamos médicos en los EE. UU. pasan por la cámara de compensación de intercambio electrónico de datos de Change Healthcare. (El Departamento de Justicia perdió su caso para impedir la adquisición de Change Healthcare por parte de UHG y el año pasado abandonó los planes de apelación).

Como informó Ars anteriormente, el ataque fue revelado el 21 de febrero por la filial de UHG, Optum, que ahora dirige Change Healthcare. El 29 de febrero, UHG acusó de ser responsable a la famosa banda de ransomware de habla rusa conocida como AlphV y BlackCat. Según The Washington Post, el ataque implicó robar datos de pacientes, cifrar archivos de la empresa y exigir dinero para desbloquearlos. El resultado es una parálisis en el procesamiento de reclamaciones y pagos, lo que hace que los hospitales se queden sin efectivo para nóminas y servicios e impide que los pacientes obtengan atención y recetas. Además, se cree que el ataque expuso los datos de salud de millones de pacientes estadounidenses.

A principios de este mes, Rick Pollack, presidente y director ejecutivo de la Asociación Estadounidense de Hospitales, calificó el ataque de ransomware a Change Healthcare como «el incidente más significativo y con mayores consecuencias de su tipo contra el sistema de atención médica de Estados Unidos en la historia».

Ahora, tres semanas después del ataque, muchos sistemas de salud siguen teniendo problemas. El martes, miembros de la administración Biden se reunieron con el director ejecutivo de UHG, Andrew Witty, y otros líderes de la industria de la salud en la Casa Blanca para exigir que hagan más para estabilizar la situación de los proveedores y servicios de atención médica y brindar asistencia financiera. Es posible que se vislumbren algunas mejoras; El miércoles, UHG publicó una actualización que decía que «todas las principales farmacias y sistemas de pago están funcionando y más del 99 por ciento del volumen de reclamos previo al incidente está fluyendo».

Cumplimiento de HIPAA

Aun así, la filtración de datos deja grandes interrogantes sobre el alcance del daño a la privacidad del paciente y la idoneidad de las protecciones en el futuro. En un acontecimiento adicional el miércoles, la Oficina de Derechos Civiles (OCR) del departamento de salud anunció que abrirá una investigación sobre UHG y Change Healthcare por el incidente. Señaló que dicha investigación estaba justificada «dada la magnitud sin precedentes de este ciberataque y en el mejor interés de los pacientes y los proveedores de atención médica».

En una carta «Estimado colega» fechada el miércoles, la OCR explicó que la investigación «se centrará en si se produjo una violación de la información de salud protegida y en el cumplimiento de las normas HIPAA por parte de Change Healthcare y UHG». HIPAA es la Ley de Responsabilidad y Portabilidad del Seguro Médico, que establece requisitos de privacidad y seguridad para la información médica protegida, así como requisitos de notificación de incumplimiento.

En una declaración a la prensa, UHG dijo que cooperaría con la investigación. «Nuestro objetivo inmediato es restaurar nuestros sistemas, proteger los datos y apoyar a aquellos cuyos datos puedan haber sido afectados», se lee en el comunicado. «Estamos trabajando con las autoridades para investigar el alcance de los datos afectados».

El Post señala que el gobierno federal tiene un historial de investigar y penalizar a organizaciones de atención médica por no implementar salvaguardias adecuadas para evitar violaciones de datos. Por ejemplo, el proveedor de seguros médicos Anthem pagó un acuerdo de 16 millones de dólares en 2020 por una violación de datos de 2015 que expuso los datos privados de casi 79 millones de personas. Los datos expuestos incluían nombres, números de Seguro Social, números de identificación médica, direcciones, fechas de nacimiento, direcciones de correo electrónico e información laboral. La investigación de la OCR sobre la violación descubrió que el ataque comenzó con correos electrónicos de phishing de los que se enamoró al menos un empleado de una subsidiaria de Anthem, abriendo la puerta a más intrusiones que no fueron detectadas entre el 2 de diciembre de 2014 y el 27 de enero de 2015.

«Desafortunadamente, Anthem no implementó medidas apropiadas para detectar piratas informáticos que habían obtenido acceso a su sistema para recopilar contraseñas y robar información privada de las personas», dijo en ese momento el director de la OCR, Roger Severino. «Sabemos que las grandes entidades de atención médica son objetivos atractivos para los piratas informáticos, por lo que se espera que tengan políticas de contraseñas sólidas y que supervisen y respondan a los incidentes de seguridad de manera oportuna o apliquen riesgos mediante la OCR».

El proveedor de seguros de salud UnitedHealth ha identificado a Blackcat como el grupo detrás de un ciberataque debilitante que ha afectado a los proveedores de atención médica en todo el país. Reuters esta reportando. El ataque ha provocado más de un apagón de una semana del sistema Change Healthcare, propiedad de United, interrumpir los pagos en hospitales, clínicas y farmacias de todo el país.

Dado que Change Healthcare actúa como intermediario entre los proveedores de atención médica y las compañías de seguros, la infracción ha obstaculizado transacciones cotidianas como recargas electrónicas de farmacia y nuevas reclamaciones de seguros. La compañía identificó por primera vez actividad sospechosa en sus sistemas de TI el 21 de febrero, según un Presentación ante la SEC.

La infracción podría durar semanas, dijo el director de operaciones de UnitedHealth Group, Dirk McMahon dijo STAT. Mientras tanto, la compañía de seguros está creando un programa de préstamos para proveedores de atención sanitaria.

en un asesoramiento conjunto sobre ciberseguridad, agencias federales, incluidas CISA y el FBI, advirtieron que Blackcat ahora está apuntando intencionalmente al sistema de salud. “Desde mediados de diciembre de 2023, de las casi 70 víctimas filtradas, el sector de la salud ha sido el más comúnmente victimizado”, escribieron las agencias.

El gobierno de Estados Unidos incluso ha ofrecido una combinación recompensa de 15 millones de dólares para cualquier información de inteligencia procesable sobre el paradero del grupo. Un intento del FBI de apoderarse de los servidores y sitios de Blackcat el año pasado aparentemente fracasó: el grupo recuperó rápidamente el control.

En un mensaje de la red oscura que luego fue eliminado el miércoles, Blackcat también lo afirmó. robó millones de registros de pacientesincluidos datos médicos y de seguros confidenciales en la violación de UnitedHealth, Reuters informó. El grupo también admitió, en el mismo mensaje, haber robado datos de Medicare, la agencia médica militar Tricare e incluso CVS Health. No se proporcionaron más detalles sobre el momento de estas filtraciones y, según se informa, el mensaje fue eliminado sin explicación. Reuters no pudo comunicarse con los piratas informáticos ni verificar ninguna de sus afirmaciones.

Incluso el robo de registros confidenciales de UnitedHealth por sí solo podría afectar a millones de personas. Change Healthcare maneja casi 1 de cada 3 registros de pacientes en los EE. UU., dijo la Asociación Estadounidense de Hospitales al secretario del HHS, Xavier Becerra, en una carta enviada el lunes. «Cualquier interrupción prolongada de los sistemas de Change Healthcare afectará negativamente la capacidad de muchos hospitales para ofrecer el conjunto completo de servicios de atención médica a sus comunidades», escribió el presidente de la AHA, Richard J. Pollack.

UnitedHealth está trabajando actualmente con Mandiant, propiedad de Google, y el proveedor de software de ciberseguridad Palo Alto Networks. CNBC informes. La empresa no ha indicado si planea pagar el rescate.

El gigante estadounidense de seguros de salud UnitedHealth Group (UHG) dijo el jueves en una presentación ante los reguladores gubernamentales que su filial Change Healthcare se vio comprometida, probablemente por piratas informáticos respaldados por el gobierno.

En una presentación presentada el jueves, UHG culpó del actual incidente de ciberseguridad que afecta a Change Healthcare a presuntos piratas informáticos de estados nacionales, pero dijo que no tenía un plazo para saber cuándo sus sistemas volverían a estar en línea.

UHG no atribuyó el ciberataque a una nación o gobierno específico, ni citó qué evidencia tenía para respaldar su afirmación.

Un portavoz de la empresa no respondió a una solicitud de comentarios al momento de escribir este artículo.

Change Healthcare proporciona facturación a los pacientes en todo el sistema de salud de EE. UU. La compañía procesa miles de millones de transacciones de atención médica anualmente y afirma que maneja alrededor de uno de cada tres registros de pacientes en EE. UU., lo que representa alrededor de 100 millones de estadounidenses.

El ciberataque comenzó la madrugada del miércoles, según el rastreador de incidentes de la empresa.

Change Healthcare aún no ha revelado la naturaleza específica de su ciberataque.

Las farmacias de EE. UU. informan que no pueden cumplir con las recetas a través del seguro de los pacientes debido a la interrupción continua en Change Healthcare, que maneja gran parte del proceso de facturación.

Varias personas que trabajan en el sector de la salud y cuyo trabajo se ve afectado por la interrupción le dicen a TechCrunch que están experimentando un tiempo de inactividad debido al ciberataque en curso.

UHG dijo en su presentación que ha “contratado a destacados expertos en seguridad, está trabajando con las autoridades y notificado a clientes, clientes y ciertas agencias gubernamentales”.

UnitedHealthcare, la compañía de seguros de salud más grande de EE. UU., supuestamente está utilizando un algoritmo de inteligencia artificial profundamente defectuoso para anular los juicios de los médicos y negar injustamente cobertura de salud crítica a pacientes de edad avanzada. Esto ha resultado en que los pacientes sean expulsados ​​de los programas de rehabilitación y centros de atención demasiado pronto, obligándolos a agotar los ahorros de toda su vida para obtener la atención necesaria que debería estar cubierta por su plan Medicare Advantage financiado por el gobierno.

Todo eso es según una demanda presentada esta semana en el Tribunal de Distrito de los Estados Unidos para el Distrito de Minnesota. La demanda es presentada por los patrimonios de dos personas fallecidas a quienes UnitedHealth les negó la cobertura médica. La demanda también busca el estatus de demanda colectiva para personas en situaciones similares, de las cuales puede haber decenas de miles en todo el país.

La demanda coincide con una investigación de Stat News que respalda en gran medida las afirmaciones de la demanda. Los hallazgos de la investigación surgen de documentos internos y comunicaciones que obtuvo el medio, así como de entrevistas con ex empleados de NaviHealth, la subsidiaria de UnitedHealth que desarrolló el algoritmo de inteligencia artificial llamado nH Predict.

«Al final de mi tiempo en NaviHealth me di cuenta: no soy una defensora, solo soy una fuente de ingresos para esta empresa», dijo a Stat Amber Lynch, terapeuta ocupacional y exadministradora de casos de NaviHealth. «Se trata de dinero y datos», añadió. «Le quita la dignidad al paciente, y eso lo odié».

Negaciones basadas en IA

Según la demanda, UnitedHealth comenzó a utilizar nH Predict al menos en noviembre de 2019 y todavía está en uso. El algoritmo estima cuánta atención posaguda necesitará un paciente con un plan Medicare Advantage después de una lesión, enfermedad o evento agudo, como una caída o un derrame cerebral. La atención posaguda puede incluir cosas como terapia y atención especializada de agencias de atención médica domiciliaria, hogares de ancianos especializados y centros de rehabilitación para pacientes hospitalizados.

No está claro cómo funciona exactamente nH Predict, pero supuestamente estima la atención post-aguda extrayendo información de una base de datos que contiene casos médicos de 6 millones de pacientes. Los administradores de casos de NaviHealth ingresan cierta información sobre un paciente determinado (incluida la edad, la situación de vida y las funciones físicas) y el algoritmo de IA genera estimaciones basadas en pacientes similares en la base de datos. El algoritmo estima las necesidades médicas, la duración de la estancia hospitalaria y la fecha de alta.

Pero Lynch señaló a Stat que el algoritmo no tiene en cuenta muchos factores relevantes en la salud y el tiempo de recuperación de un paciente, incluidas las comorbilidades y las cosas que ocurren durante las estadías, como si desarrollan neumonía mientras están en el hospital o contraen COVID-19 en una enfermería. hogar.

Según la investigación de Stat y la demanda, las estimaciones suelen ser draconianas. Por ejemplo, en un plan Medicare Advantage, los pacientes que permanecen en un hospital durante tres días generalmente tienen derecho a hasta 100 días de atención cubierta en un hogar de ancianos. Pero con nH Predict, los pacientes rara vez permanecen en hogares de ancianos durante más de 14 días antes de recibir una denegación de pago por parte de UnitedHealth.

Cuando los pacientes o sus médicos solicitaron ver los informes de nH Predict, UnitedHealth negó sus solicitudes, diciéndoles que la información es privada, según la demanda. Y, cuando los médicos que prescriben no están de acuerdo con la determinación de UnitedHealth sobre cuánta atención posaguda necesitan sus pacientes, sus juicios quedan anulados.

Fallos favorables

El uso de IA defectuosa no es nuevo para la industria del cuidado de la salud. Si bien los chatbots de IA y los generadores de imágenes actualmente acaparan los titulares y causan alarma, la industria de la atención médica en los EE. UU. tiene un historial más largo de uso problemático de la IA, incluido el establecimiento de sesgos raciales algorítmicos en la atención al paciente. Pero lo que distingue a esta situación es que las estimaciones dudosas que escupe nH Predict parecen ser una característica, no un error, de UnitedHealth.

Desde que UnitedHealth adquirió NaviHealth en 2020, los exempleados dijeron a Stat que el enfoque de la compañía pasó de la defensa del paciente a las métricas de desempeño y a mantener la atención posaguda lo más breve y sencilla posible. Varias declaraciones de ejecutivos de UnitedHealth se hicieron eco de este cambio, señaló Stat. En particular, el ejecutivo de UnitedHealth que supervisa NaviHealth, Patrick Conway, fue citado en un podcast de la compañía diciendo: «Si [people] van a un asilo de ancianos, ¿cómo los sacamos lo antes posible?»