Un ciberataque en el gigante de la tecnología de la salud en Estados Unidos, Change Healthcare, ha paralizado gran parte del sistema de salud de Estados Unidos por segunda semana consecutiva.
Los hospitales no han podido verificar los beneficios del seguro de estancias hospitalarias, manejar las autorizaciones previas necesarias para los procedimientos y cirugías de los pacientes, o procesar la facturación que paga por los servicios médicos. Las farmacias han tenido dificultades para determinar cuánto cobrar a los pacientes por las recetas sin acceso a sus registros de seguro de salud, obligando a algunos a pagar costosos medicamentos en efectivo, mientras que otros no pueden afrontar los costos.
Desde que Change Healthcare cerró su red repentinamente el 21 de febrero en un esfuerzo por contener a los intrusos digitales, algunos proveedores de atención médica más pequeños y farmacias están advirtiendo sobre reservas de efectivo que se agotan mientras luchan por pagar sus facturas y su personal sin el flujo constante de reembolsos de las aseguradoras.
La empresa matriz de Change Healthcare, UnitedHealth Group, dijo en una presentación ante los reguladores gubernamentales que la empresa de tecnología médica estaba haciendo «progresos sustanciales» en la restauración de sus sistemas afectados.
A medida que el impacto inmediato de las interrupciones continuas en los pacientes y proveedores se vuelve más claro, surgen preguntas sobre la seguridad de la información médica altamente sensible de millones de personas manejada por Change Healthcare.
Desde Rusia, una prolífica banda de ransomware que se atribuyó el ciberataque a Change Healthcare afirmó, sin aún publicar pruebas, haber robado enormes bancos de datos que contienen información médica privada de millones de pacientes de los sistemas del gigante de la tecnología de la salud. En un giro inesperado, la banda de ransomware parece haber simulado su propia desaparición y ha desaparecido después de recibir un pago de rescate valorado en millones en criptomonedas.
Si los datos de los pacientes fueron robados, las repercusiones para los pacientes afectados probablemente serán irreversibles y duraderas.
Change Healthcare es uno de los mayores facilitadores de datos de salud y médicos y registros de pacientes en el mundo, manejando miles de millones de transacciones de atención médica anualmente. Desde el 2022, el gigante de tecnología médica ha sido propiedad de UnitedHealth Group, el mayor proveedor de seguros de salud en Estados Unidos. Cientos de miles de médicos y dentistas, así como decenas de miles de farmacias y hospitales en Estados Unidos, dependen de él para facturar a los pacientes según lo permitan sus beneficios de seguro de salud.
Esa dimensión presenta un riesgo particular. Funcionarios antimonopolio de Estados Unidos demandaron sin éxito para impedir que UnitedHealth comprara Change Healthcare y lo fusionara con su subsidiaria de atención médica Optum, argumentando que UnitedHealth obtendría una ventaja competitiva injusta al tener acceso a «aproximadamente la mitad de todas las reclamaciones de seguros de salud de los estadounidenses cada año.»
Por su parte, Change Healthcare ha evitado repetidamente afirmar hasta ahora si los datos de los pacientes han sido comprometidos en el ciberataque. Eso no ha tranquilizado a los ejecutivos de la salud que temen que las repercusiones relacionadas con los datos del ciberataque aún estén por llegar.
En una carta del 1 de marzo al gobierno de Estados Unidos, la Asociación Médica Estadounidense advirtió sobre «preocupaciones significativas de privacidad de datos» ante el temor de que el incidente «haya causado extensas filtraciones de información de pacientes y médicos.» El presidente de la AMA, Jesse Ehrenfeld, fue citado por reporteros diciendo que Change Healthcare no ha proporcionado «ninguna claridad sobre qué datos fueron comprometidos o robados.»
Un director de ciberseguridad en un gran sistema hospitalario de Estados Unidos dijo a TechCrunch que aunque están en contacto regular con Change y UnitedHealth, hasta ahora no han escuchado nada sobre la seguridad o integridad de los registros de pacientes. El director de ciberseguridad expresó alarma ante la posibilidad de que los piratas informáticos publiquen en línea los sensibles datos de los pacientes robados.
Esa persona dijo que las comunicaciones de Change, que han ido escalando gradualmente desde sugerir que los datos podrían haber sido exfiltrados, hasta reconocer una investigación activa con varias firmas de respuesta a incidentes, sugieren que es solo cuestión de tiempo antes de saber cuánto se ha robado, y de quién. Los clientes soportarán parte de la carga de este hackeo, dijo esta persona, pidiendo no ser citada por su nombre ya que no está autorizada a hablar con la prensa.
Banda de ransomware realiza ‘estafa de salida’
Ahora, parece que los piratas informáticos han desaparecido, lo que añade imprevisibilidad a la situación.
UnitedHealth inicialmente atribuyó el ciberataque a hackers no especificados respaldados por el gobierno, pero luego retiró esa afirmación y luego culpó a la banda de cibercrimen de ransomware y extorsión con sede en Rusia llamada ALPHV (también conocida como BlackCat), que no tiene vínculos conocidos con ningún gobierno.
Las bandas de ransomware y extorsión están motivadas financieramente y suelen utilizar tácticas de doble extorsión, primero encriptando los datos de la víctima con malware de cifrado de archivos, y luego robando una copia para luego amenazar con publicar los datos en línea si no se paga su demanda de rescate.
El 3 de marzo, un afiliado de ALPHV/BlackCat – efectivamente un contratista que gana una comisión por los ciberataques que lanzan utilizando el malware de la banda de ransomware – se quejó en una publicación en un foro de cibercrimen afirmando que ALPHV/BlackCat los estafó de sus ganancias. El afiliado afirmó en la publicación que ALPHV/BlackCat se quedó con los $22 millones de rescate que Change Healthcare supuestamente pagó para descifrar sus archivos y evitar la filtración de datos, como informó por primera vez el veterano observador de seguridad DataBreaches.net.
Como prueba de sus afirmaciones, el afiliado proporcionó la dirección exacta de la billetera de criptomonedas que ALPHV/BlackCat había utilizado dos días antes para supuestamente recibir el rescate. La billetera mostraba una única transacción valorada en $22 millones en bitcoin en el momento del pago.
El afiliado agregó que a pesar de haber perdido su parte del rescate, los datos robados «aún están con nosotros», lo que sugiere que el afiliado agraviado todavía tiene acceso a montones de datos médicos y de pacientes sensibles robados.
UnitedHealth ha declinado confirmar a los reporteros si pagó el rescate a los piratas informáticos, en lugar de eso dijo que la compañía está enfocada en su investigación. Cuando TechCrunch preguntó a UnitedHealth si disputaba los informes de que pagó un rescate, un portavoz de la compañía no respondió.
Para el 5 de marzo, el sitio web de ALPHV/BlackCat había desaparecido en lo que los investigadores creen que es una estafa de salida, donde los piratas informáticos huyen con su nueva fortuna para no ser vistos nuevamente, o permanecen en silencio y se reforman más adelante como una nueva banda.
El sitio web oscuro de la banda fue reemplazado con una pantalla de inicio que pretendía ser un aviso de incautación de las fuerzas del orden. En diciembre, una operación policial global derribó partes de la infraestructura de ALPHV/BlackCat pero la banda regresó y pronto comenzó a atacar a nuevas víctimas. Pero esta vez, los investigadores de seguridad sospechaban de la propia decepción de la banda en juego, en lugar de otro esfuerzo legal de incautación.
Un portavoz de la Agencia Nacional del Crimen del Reino Unido, que estuvo involucrada en la operación de desarticulación de ALPHV/BlackCat el año pasado, dijo a TechCrunch que el sitio web supuestamente incautado de ALPHV/BlackCat «no es resultado de la actividad de la NCA». Otras agencias policiales globales también negaron estar involucradas en la repentina desaparición del grupo.
No es infrecuente que las bandas de cibercrimen se reformen o cambien de marca como una forma de deshacerse de problemas de reputación, lo que uno podría hacer después de ser descubierto por una acción policial o quedarse con las ganancias ilícitas de un afiliado.
Incluso con un pago realizado, no hay garantía de que los piratas informáticos eliminarán los datos. Una reciente operación policial global dirigida a interrumpir la prolífica operación de ransomware LockBit encontró que la banda de cibercrimen no siempre eliminaba los datos de la víctima, como afirmaba que haría si se pagaba un rescate. Las empresas han comenzado a reconocer que pagar un rescate no garantiza la devolución de sus archivos.
Para aquellos en la primera línea de la ciberseguridad en salud, el peor escenario es que los registros de pacientes robados se hagan públicos.
Los impactos en la seguridad de los pacientes y en la economía se sentirán durante años, dijo el director de ciberseguridad del hospital a TechCrunch.