Gigante de los seguros médicos UnitedHealth Group ha confirmado que un ataque de ransomware a su filial de tecnología sanitaria Change Healthcare a principios de este año resultó en un enorme robo de datos sanitarios privados de los estadounidenses.
UnitedHealth dijo en un comunicado el lunes que una banda de ransomware tomó archivos que contienen datos personales e información de salud protegida que, según dice, puede «cubrir una proporción sustancial de personas en Estados Unidos».
El gigante de los seguros médicos no dijo cuántos estadounidenses se ven afectados, pero dijo que la revisión de los datos “probablemente tomaría varios meses” antes de que la compañía comenzara a notificar a las personas que su información fue robada en el ciberataque.
Change Healthcare procesa seguros y facturación para cientos de miles de hospitales, farmacias y consultorios médicos en todo el sector sanitario de EE. UU.; tiene acceso a cantidades masivas de información de salud sobre aproximadamente la mitad de todos los estadounidenses.
UnitedHealth dijo que aún no había visto evidencia de que los historiales médicos o los historiales médicos completos hubieran sido extraídos de sus sistemas.
La admisión de que los piratas informáticos robaron datos de salud de los estadounidenses se produce una semana después de que un nuevo grupo de piratas informáticos comenzara a publicar partes de los datos robados en un esfuerzo por extorsionar a la empresa para que exigiera un segundo rescate.
La pandilla, que se hace llamar RansomHub, publicó varios archivos en su sitio de filtración en la web oscura que contienen información personal sobre pacientes en una variedad de documentos, algunos de los cuales incluían archivos internos relacionados con Change Healthcare. RansomHub dijo que vendería los datos robados a menos que Change Healthcare pagara un rescate.
En una declaración proporcionada a TechCrunch, el portavoz de UnitedHealth, Tyler Mason, confirmó que la empresa pagó a los ciberdelincuentes. «Se pagó un rescate como parte del compromiso de la empresa de hacer todo lo posible para proteger los datos de los pacientes contra la divulgación». La empresa no confirmó el monto que pagó.
RansomHub es la segunda pandilla que exige un rescate a Change Healthcare. Según se informa, el gigante de la tecnología sanitaria pagó 22 millones de dólares a una banda criminal con sede en Rusia llamada ALPHV en marzo, que luego desapareció, privando a la filial que llevó a cabo el robo de datos de su parte del rescate.
RansomHub afirmó en su publicación junto con los datos robados publicados que «nosotros tenemos los datos y no ALPHV».
En su declaración del lunes, UnitedHealth reconoció la publicación de algunos de los archivos, pero no llegó a reclamar la propiedad de los documentos. «Esta no es una notificación oficial de incumplimiento», dijo UnitedHealth.
El Wall Street Journal informó el lunes que la filial de piratería criminal de ALPHV irrumpió en la red de Change Healthcare utilizando credenciales robadas para un sistema que permite el acceso remoto a su red. Los piratas informáticos estuvieron en la red de Change Healthcare durante más de una semana antes de implementar ransomware, lo que les permitió robar cantidades significativas de datos de los sistemas de la empresa.
El ciberataque a Change Healthcare comenzó el 21 de febrero y provocó cortes generalizados en farmacias y hospitales de todo Estados Unidos. Durante semanas, los médicos, farmacias y hospitales no pudieron verificar los beneficios para los pacientes al dispensar medicamentos, organizar la atención hospitalaria o procesar las autorizaciones previas necesarias para cirugías.
Gran parte del sistema de salud de EE. UU. quedó paralizado, y los proveedores de atención médica enfrentan presiones financieras a medida que crecen los retrasos y persisten los cortes.
UnitedHealth informó la semana pasada que el ataque de ransomware le ha costado más de 870 millones de dólares en pérdidas. La compañía informó que obtuvo 99.800 millones de dólares en ingresos durante los primeros tres meses del año, obteniendo mejores resultados de lo que esperaban los analistas de Wall Street.
El director ejecutivo de UnitedHealth, Andrew Witty, quien recibió cerca de $21 millones en compensación total durante todo el año 2022, testificará ante los legisladores de la Cámara el 1 de mayo.
Actualizado con comentarios de UnitedHealth.