Un reciente ciberataque contra Change Healthcare, una subsidiaria de UnitedHealth Group, ha sido calificado como el mayor robo de información médica jamás registrado en Estados Unidos. Este incidente, ocurrido en febrero de 2024, expuso los datos personales y médicos de aproximadamente 190 millones de individuos, lo que supone un aumento significativo respecto a la cifra inicialmente estimada de 100 millones. Además del impacto en los pacientes, el ataque causó interrupciones generalizadas en el sistema de salud del país, afectando servicios cruciales durante varios meses.
Consecuencias Inmediatas del Ciberataque
El ataque no solo comprometió información sensible de pacientes, sino que también generó graves problemas operativos en el sector de la salud estadounidense. Servicios vitales como el procesamiento de reclamaciones y otros sistemas administrativos sufrieron fallos severos que obstaculizaron la atención médica en todo el país. Tyler Mason, portavoz de Change Healthcare, confirmó que la mayoría de las personas afectadas ya han sido notificadas, aunque se espera que la cifra final sea presentada oficialmente ante la Oficina de Derechos Civiles en una fecha posterior.
Los datos filtrados incluyen nombres, direcciones, fechas de nacimiento, números de teléfono, correos electrónicos y documentos de identidad gubernamentales, así como registros médicos detallados que abarcan diagnósticos, medicamentos, resultados de pruebas, imágenes, planes de tratamiento y datos de seguros de salud. La información financiera vinculada a reclamaciones de pacientes también fue vulnerada, lo que podría facilitar fraudes financieros o robos de identidad a gran escala. Parte de esta información fue publicada en línea por los atacantes, quienes exigieron un rescate para evitar una mayor divulgación. Según informes, Change Healthcare habría pagado al menos dos rescates, aunque los montos exactos no se han revelado.
Reflexión sobre la Seguridad Cibernética en el Sector de la Salud
Este tipo de ataques representa una amenaza grave tanto para los pacientes como para las aseguradoras y proveedores de servicios médicos. El robo de información médica puede dar lugar a usos fraudulentos, como reclamaciones falsas a seguros o suplantación de identidad para recibir tratamientos médicos. La infiltración en los sistemas de Change Healthcare se debió a fallas de seguridad críticas, según explicó Andrew Witty, CEO de UnitedHealth Group, en una comparecencia ante legisladores. Los atacantes lograron acceder a la red utilizando credenciales robadas que no estaban protegidas con autenticación multifactor.
La ausencia de medidas de seguridad fundamentales permitió a los ciberdelincuentes penetrar en una de las bases de datos médicas y de seguros más grandes del país. Este descuido resalta la falta de protocolos robustos de ciberseguridad en el sector de la salud, a pesar de la sensibilidad de los datos que maneja. Change Healthcare es una de las empresas más grandes de tecnología de la salud en Estados Unidos y procesa una cantidad significativa de reclamaciones médicas y transacciones financieras relacionadas con seguros de salud. La magnitud del ataque pone de relieve la vulnerabilidad del sector sanitario ante ciberataques cada vez más sofisticados.