Omar Marques | Lightrocket | Getty Images
El CEO de UnitedHealth Group, Andrew Witty, informó el miércoles a los legisladores que los datos de aproximadamente un tercio de los estadounidenses podrían haber sido comprometidos en el ciberataque a su subsidiaria Change Healthcare, y que la empresa pagó un rescate de $22 millones a los hackers.
Witty testificó ante el Subcomité de Supervisión e Investigaciones, que forma parte del Comité de Energía y Comercio de la Cámara de Representantes. Dijo que la investigación sobre la brecha aún está en curso, por lo que el número exacto de personas afectadas sigue siendo desconocido. La cifra de un tercio es solo una estimación aproximada.
UnitedHealth ha dicho anteriormente que el ciberataque probablemente afecta a una “proporción sustancial de personas en Estados Unidos”, según un comunicado de prensa de abril. La empresa confirmó que los archivos que contenían información de salud protegida y datos personales identificables fueron comprometidos en la violación.
Probablemente pasen meses antes de que UnitedHealth pueda notificar a las personas afectadas, dada la “complejidad de la revisión de datos”, dijo el comunicado. La empresa está ofreciendo acceso gratuito a protección contra robo de identidad y monitoreo de crédito para personas preocupadas por sus datos.
Witty también testificó ante el Comité de Finanzas del Senado de EE. UU. el miércoles, cuando confirmó por primera vez que la empresa pagó un rescate de $22 millones a los hackers que violaron Change Healthcare. En la audiencia con la Comisión de Supervisión e Investigaciones más tarde ese mismo día, Witty dijo que el pago se realizó en Bitcoin.
UnitedHealth reveló que un actor de amenazas cibernéticas violó parte de la red de tecnología de la información de Change Healthcare a fines de febrero. La empresa desconectó los sistemas afectados cuando se detectó la amenaza, y la interrupción ha causado repercusiones generalizadas en el sector de la atención médica de EE. UU.
En su testimonio por escrito ante el subcomité, Witty dijo que los ciberdelincuentes utilizaron “credenciales comprometidas” para infiltrarse en los sistemas de Change Healthcare el 12 de febrero y desplegaron un ransomware que cifró la red nueve días después.
El portal al que accedieron inicialmente los actores malintencionados no estaba protegido por autenticación multifactor, o MFA, que requiere que los usuarios verifiquen sus identidades de al menos dos maneras diferentes.
Witty dijo a ambos comités el miércoles que UnitedHealth ahora tiene MFA implementado en todos los sistemas de cara al exterior.