Lo reveló una autoridad de la empresa ante legisladores. Además, confirmó el pago de un rescate de US$22 millones a los piratas informáticos.
El ciberataque que impactó a Change Healthcare, una subsidiaria de UnitedHealth Group, continúa generando preocupaciones a medida que se revelan más detalles sobre su alcance y las medidas tomadas por la compañía.
Durante una audiencia ante el Subcomité de Supervisión e Investigaciones de la Cámara de Representantes de Estados Unidos, el CEO de UnitedHealth Group, Andrew Witty, ofreció una estimación preocupante: alrededor de un tercio de los ciudadanos estadounidenses podrían verse afectados por este incidente de seguridad cibernética.
Witty informó que, aunque la investigación sobre el ataque aún está en curso, el número exacto de personas afectadas aún no se conoce. Sin embargo, la compañía ha afirmado previamente que el ciberataque probablemente afecta a una "proporción sustancial de personas en Estados Unidos". La información comprometida incluye archivos que contienen información de salud protegida y datos de identificación personal, según publicó CNBC.
El CEO de UnitedHealth también confirmó que la compañía pagó un rescate de 22 millones de dólares a los hackers que irrumpieron en Change Healthcare. Este pago se realizó en bitcoins, según declaró ante los legisladores.
El incidente de seguridad se remonta a febrero, cuando un actor de amenazas cibernéticas logró infiltrarse en parte de la red de tecnología de la información de Change Healthcare. La compañía desconectó los sistemas afectados cuando se detectó la amenaza, pero las repercusiones se han extendido por todo el sector de la salud en EE. UU.
Según el testimonio escrito de Witty ante el subcomité, los ciberatacantes utilizaron "credenciales comprometidas" para infiltrarse en los sistemas de Change Healthcare el 12 de febrero y desplegaron un ransomware que cifró la red nueve días después. Además, se reveló que el portal al que inicialmente accedieron los piratas informáticos no estaba protegido por autenticación multifactor (MFA), una medida de seguridad que UnitedHealth ha implementado ahora en todos sus sistemas externos.
Ante la magnitud del incidente, UnitedHealth está trabajando en la notificación a los individuos afectados, lo cual podría llevar varios meses debido a la complejidad de revisar los datos comprometidos. Mientras tanto, la compañía está ofreciendo acceso gratuito a protección contra robo de identidad y monitoreo de crédito para aquellos preocupados por la seguridad de sus datos.