Una brecha de seguridad en UnitedHealth expuso la información personal y datos de salud de más de 100 millones de estadounidenses, siendo la primera vez que la compañía especifica un número concreto sobre el incidente.
Un ataque de ransomware se produjo en Change Healthcare en febrero, pero fue ayer cuando la compañía reveló su “magnitud sin precedentes”…
El hackeo a UnitedHealth
Según Bleeping Computer, la revelación ha sido un proceso lento.
UnitedHealth ha confirmado por primera vez que más de 100 millones de personas tuvieron su información personal y datos de salud robados en el ataque de ransomware a Change Healthcare, marcando esto como la mayor brecha de datos en el sector de la salud en años recientes.
En mayo, el CEO de UnitedHealth, Andrew Witty, advirtió durante una audiencia del Congreso que “quizás un tercio” de los datos de salud de todos los estadounidenses fueron expuestos en el ataque.
Un mes después, Change Healthcare publicó una notificación de brecha de datos advirtiendo que el ataque de ransomware de febrero expuso una “cantidad considerable de datos” para una “proporción considerable de personas en Estados Unidos.”
Hoy, el portal de brechas de datos de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. actualizó el número total de personas afectadas a 100 millones, siendo la primera vez que UnitedHealth, la empresa matriz de Change Healthcare, puso un número oficial a la brecha.
La sensibilidad de la información comprometida fue tan preocupante como la escala:
– Información de seguros de salud (como planes/pólizas de salud primarios, secundarios u otros, compañías de seguros, números de identificación de miembro/grupo, y números de identificación de Medicaid-Medicare-gobierno);
– Información de salud (como números de expediente médico, proveedores, diagnósticos, medicamentos, resultados de pruebas, imágenes, cuidados y tratamiento);
– Información de facturación, reclamos y pagos (como números de reclamo, números de cuenta, códigos de facturación, tarjetas de pago, información financiera y bancaria, pagos realizados y saldo adeudado); y/o
– Otros datos personales como números de Seguro Social, licencias de conducir o números de identificación estatales, o números de pasaporte.
Los datos reales expuestos pueden variar según la persona.
Increíblemente, el ataque fue posible utilizando credenciales robadas porque el servicio de acceso remoto Citrix de la empresa no tenía habilitada la autenticación de dos factores.
Se extrajeron masivamente 6 TB de datos antes de que los ordenadores de la empresa fueran encriptados, causando caos tanto para médicos como pacientes. La compañía admitió haber pagado un rescate por la clave de descifrado, supuestamente entregando $22 millones.
Peor aún, el ataque fue llevado a cabo por un ‘afiliado’ del grupo criminal organizado BlackCat, y el grupo aparentemente se quedó con el 100% del dinero del rescate. El afiliado entonces exigió un nuevo rescate a cambio de no hacer públicos los datos, y hay evidencia que sugiere que UnitedHealth también pagó este segundo rescate.
Foto por National Cancer Institute en Unsplash
Descargo de responsabilidad: Utilizamos enlaces de afiliados que generan ingresos por publicidad. Más.