Un ataque de ransomware a principios de este año contra la empresa de tecnología sanitaria Change Healthcare, propiedad de UnitedHealth, probablemente sea una de las mayores violaciones de datos médicos y de salud de Estados Unidos en la historia.
Meses después de la filtración de datos de febrero, una “proporción sustancial de personas que viven en Estados Unidos” están recibiendo una notificación por correo de que su información personal y de salud fue robada por ciberdelincuentes durante el ciberataque a Change Healthcare.
Change Healthcare procesa la facturación y los seguros de cientos de miles de hospitales, farmacias y consultorios médicos en todo el sector de la salud de Estados Unidos. Como tal, recopila y almacena grandes cantidades de datos médicos altamente confidenciales sobre pacientes en Estados Unidos. A través de una serie de fusiones y adquisiciones, Change se convirtió en uno de los mayores procesadores de datos de salud de Estados Unidos, manejando entre un tercio y la mitad de todas las transacciones de salud de ese país.
Esto es lo que ha sucedido desde que comenzó el ataque de ransomware.
21 de febrero de 2024
Primer informe de cortes de servicio a medida que surge un incidente de seguridad
Parecía una tarde de miércoles normal, hasta que no lo fue. La interrupción fue repentina. El 21 de febrero, los sistemas de facturación de los consultorios médicos y las prácticas de atención médica dejaron de funcionar y las reclamaciones de seguros dejaron de procesarse. La página de estado del sitio web de Change Healthcare se llenó de notificaciones de interrupción que afectaban a todas las partes de su negocio y, más tarde ese día, la empresa confirmó que estaba “experimentando una interrupción de la red relacionada con un problema de seguridad cibernética”. Claramente, algo había ido muy mal.
Resulta que Change Healthcare invocó sus protocolos de seguridad y cerró toda su red para aislar a los intrusos que encontró en sus sistemas. Eso significó interrupciones repentinas y generalizadas en todo el sector de la atención médica que depende de un puñado de empresas, como Change Healthcare, para gestionar los seguros médicos y las reclamaciones de facturación en amplias franjas de los Estados Unidos. Más tarde se determinó que los piratas informáticos habían entrado inicialmente en los sistemas de la empresa más de una semana antes, el 12 de febrero o alrededor de esa fecha.
29 de febrero de 2024
UnitedHealth confirma que fue atacado por una banda de ransomware
Después de atribuir inicialmente (e incorrectamente) la intrusión a piratas informáticos que trabajaban para un gobierno o un estado-nación, UnitedHealth dijo más tarde el 29 de febrero que el ciberataque era de hecho obra de una banda de ransomware. UnitedHealth dijo que la banda “se presentó ante nosotros como ALPHV/BlackCat”, dijo un portavoz de la compañía a TechCrunch en ese momento. Un sitio de filtración de la dark web asociado con la banda ALPHV/BlackCat también se atribuyó el ataque, afirmando haber robado información confidencial de salud y pacientes de millones de estadounidenses, lo que dio el primer indicio de cuántas personas había afectado este incidente.
ALPHV (también conocida como BlackCat) es una conocida banda de ransomware como servicio que habla ruso. Sus afiliados (contratistas que trabajan para la banda) entran en las redes de las víctimas y distribuyen malware desarrollado por los líderes de ALPHV/BlackCat, quienes se quedan con una parte de las ganancias obtenidas de los rescates exigidos a las víctimas para recuperar sus archivos.
Saber que la violación fue causada por una banda de ransomware cambió la ecuación del ataque del tipo de piratería que realizan los gobiernos (a veces para enviar un mensaje a otro gobierno en lugar de publicar la información privada de millones de personas) a una violación causada por cibercriminales con motivaciones financieras, que probablemente emplearán un manual completamente diferente para obtener su pago.
3-5 de marzo de 2024
UnitedHealth paga un rescate de 22 millones de dólares a piratas informáticos que luego desaparecen
A principios de marzo, la banda de ransomware ALPHV desapareció. El sitio de la filtración de datos de la banda en la dark web, que semanas antes se atribuyó el ciberataque, fue reemplazado por un aviso de incautación que afirmaba que las fuerzas de seguridad del Reino Unido y de los Estados Unidos habían desmantelado el sitio de la banda. Pero tanto el FBI como las autoridades del Reino Unido negaron haber desmantelado la banda de ransomware como habían intentado meses antes. Todos los indicios apuntaban a que ALPHV se había escapado con el rescate y había llevado a cabo una “estafa de salida”.
En una publicación, la filial de ALPHV que llevó a cabo el ataque a Change Healthcare afirmó que los líderes de ALPHV robaron 22 millones de dólares pagados como rescate e incluyeron un enlace a una sola transacción de bitcoin el 3 de marzo como prueba de su reclamación. Pero a pesar de haber perdido su parte del pago del rescate, la filial dijo que los datos robados “todavía están con nosotros”. UnitedHealth había pagado un rescate a los piratas informáticos que dejaron los datos atrás y desaparecieron.
13 de marzo de 2024
Disrupción generalizada en el sistema de salud de EE. UU. en medio de temores de violación de datos
Mientras tanto, semanas después del ciberataque, las interrupciones del servicio seguían y muchas personas no podían obtener sus recetas o tenían que pagar en efectivo. El proveedor de seguros médicos militares TriCare dijo que “todas las farmacias militares del mundo” también se vieron afectadas.
La Asociación Médica Estadounidense fue diciendo que había poca información de UnitedHealth y Change Healthcare sobre las interrupciones continuas del servicio, que causan una perturbación masiva que continúa repercutiendo en todo el sector de la salud.
El 13 de marzo, Change Healthcare había recibido una copia “segura” de los datos robados por los que había pagado 22 millones de dólares unos días antes. Esto le permitió a Change comenzar el proceso de análisis del conjunto de datos para determinar de quién era la información robada en el ciberataque, con el objetivo de notificar a la mayor cantidad posible de personas afectadas.
28 de marzo de 2024
El gobierno de Estados Unidos aumenta su recompensa a 10 millones de dólares por información que conduzca a la captura del ALPHV
A fines de marzo, el gobierno de Estados Unidos dijo que estaba aumentando su recompensa por información sobre los líderes clave de ALPHV/BlackCat y sus afiliados.
Al ofrecer 10 millones de dólares a quien pudiera identificar o localizar a los individuos que estaban detrás de la banda, el gobierno estadounidense parecía tener la esperanza de que uno de los miembros de la banda se volviera contra sus antiguos líderes. También podría interpretarse como una señal de que Estados Unidos se dio cuenta de la amenaza que suponía que una cantidad significativa de información sanitaria de sus ciudadanos se publicara en Internet.
15 de abril de 2024
Un contratista crea una nueva banda de extorsionadores y publica algunos datos de salud robados
Y luego hubo dos rescates, es decir, rescates. A mediados de abril, la filial afectada montó una nueva red de extorsión llamada RansomHub y, como todavía tenía los datos que había robado de Change Healthcare, exigió un segundo rescate a UnitedHealth. Al hacerlo, RansomHub publicó una parte de los archivos robados que contenían lo que parecían ser registros privados y sensibles de pacientes como prueba de su amenaza.
Las bandas de ransomware no solo cifran archivos, sino que también roban la mayor cantidad de datos posible y amenazan con publicar los archivos si no se paga un rescate. Esto se conoce como “doble extorsión”. En algunos casos, cuando la víctima paga, la banda de ransomware puede extorsionar a la víctima nuevamente o, en otros, extorsionar a los clientes de la víctima, lo que se conoce como “triple extorsión”.
Ahora que UnitedHealth estaba dispuesta a pagar un rescate, existía el riesgo de que el gigante de la atención médica fuera extorsionado nuevamente. Es por eso que las autoridades han abogado durante mucho tiempo contra el pago de un rescate que permita a los delincuentes beneficiarse de los ciberataques.
22 de abril de 2024
UnitedHealth afirma que piratas informáticos que utilizan ransomware robaron datos de salud de una “proporción sustancial de personas en Estados Unidos”
Por primera vez, UnitedHealth confirmó el 22 de abril —más de dos meses después de que comenzara el ataque de ransomware— que se produjo una filtración de datos y que probablemente afecta a una “proporción sustancial de personas en Estados Unidos”, sin decir cuántos millones de personas se trata. UnitedHealth también confirmó que pagó un rescate por los datos, pero no dijo cuántos rescates pagó finalmente.
La compañía dijo que los datos robados incluyen información altamente sensible, incluyendo registros médicos e información de salud, diagnósticos, medicamentos, resultados de pruebas, imágenes y planes de atención y tratamiento, y otra información personal.
Dado que Change Healthcare maneja datos de aproximadamente un tercio de todos los habitantes de Estados Unidos, es probable que la filtración de datos afecte a más de 100 millones de personas al menos. Cuando TechCrunch se puso en contacto con él, un portavoz de UnitedHealth no cuestionó la cifra probable de afectados, pero dijo que la revisión de datos de la empresa estaba en curso.
1 de mayo de 2024
El director ejecutivo de UnitedHealth Group testifica que Change no estaba utilizando ciberseguridad básica
Tal vez no sea sorprendente que cuando su empresa ha sufrido una de las mayores violaciones de datos de la historia reciente, su director ejecutivo esté obligado a ser citado a testificar ante los legisladores.
Eso es lo que sucedió con el director ejecutivo de UnitedHealth Group (UHG), Andrew Witty, quien en el Capitolio admitió que los piratas informáticos irrumpieron en los sistemas de Change Healthcare utilizando una única contraseña en una cuenta de usuario que no estaba protegida con autenticación multifactor, una característica de seguridad básica que puede prevenir ataques de reutilización de contraseñas al requerir un segundo código enviado al teléfono del titular de esa cuenta.
El mensaje clave fue que una de las mayores violaciones de datos en la historia de Estados Unidos era totalmente evitable. Witty dijo que la violación de datos probablemente afectaría a aproximadamente un tercio de las personas que viven en Estados Unidos, en línea con las estimaciones anteriores de la compañía de que la violación afectaría a aproximadamente la misma cantidad de personas para las que Change Healthcare procesa reclamos de atención médica.
20 de junio de 2024
UHG comienza a notificar a los hospitales y proveedores médicos afectados qué datos fueron robados
Change Healthcare tardó hasta el 20 de junio en comenzar a notificar formalmente a las personas afectadas que su información había sido robada, como lo exige legalmente una ley comúnmente conocida como HIPAA, probablemente retrasado en parte por el gran tamaño del conjunto de datos robado.
La empresa publicó un aviso revelando la violación de datos y dijo que comenzaría a notificar a las personas que había identificado en la copia “segura” de los datos robados. Pero Change dijo que “no puede confirmar exactamente” qué datos fueron robados sobre cada individuo y que la información puede variar de persona a persona. Change dice que estaba publicando el aviso en su sitio web, ya que “puede que no tenga suficientes direcciones de todas las personas afectadas”.
El incidente fue tan grande y complejo que el Departamento de Salud y Servicios Humanos de EE. UU. intervino y dijo que los proveedores de atención médica afectados, cuyos pacientes se ven en última instancia afectados por la violación, pueden pedirle a UnitedHealth que notifique a los pacientes afectados en su nombre, un esfuerzo que se considera que busca aliviar la carga de los proveedores más pequeños cuyas finanzas se vieron afectadas en medio de la interrupción en curso.
29 de julio de 2024
Change Healthcare comienza a notificar a las personas afectadas conocidas por carta
El gigante de la tecnología sanitaria confirmó a finales de junio que comenzaría a notificar de forma continua a aquellos cuyos datos sanitarios fueron robados en su ataque de ransomware. Ese proceso comenzó a finales de julio.
Las cartas que se enviarán a las personas afectadas probablemente provengan de Change Healthcare, si no del proveedor de atención médica específico afectado por el ataque a Change. La carta confirma qué tipo de datos fueron robados, incluidos datos médicos e información sobre seguros de salud, e información sobre reclamaciones y pagos, que según Change incluye información financiera y bancaria.