El ataque de ransomware que ha envuelto al gigante de los seguros de salud de EE. UU., UnitedHealth Group y su subsidiaria tecnológica Change Healthcare, es una pesadilla de privacidad de datos para millones de pacientes estadounidenses, con el CEO Andrew Witty confirmando esta semana que podría afectar hasta un tercio del país.
Pero también debería servir como una llamada de atención para países en todas partes, incluyendo el Reino Unido, donde UnitedHealth ahora ejerce su actividad a través de la reciente adquisición de una empresa que gestiona los datos de millones de pacientes del Servicio Nacional de Salud (NHS).
UnitedHealth, como una de las mayores compañías de atención médica en EE. UU., es ampliamente conocida a nivel nacional, intersectando con todos los aspectos de la industria de la salud desde seguros y facturación hasta redes de médicos y farmacias, es un gigante de 500 mil millones de dólares y la 11ª compañía más grande a nivel mundial por ingresos. Pero en el Reino Unido, UnitedHealth es prácticamente desconocida, principalmente porque no había tenido mucho negocio al otro lado del charco, hasta hace seis meses.
Tras un proceso regulatorio de 16 meses que finalizó en octubre, la filial de UnitedHealth, Optum UK, a través de una filial llamada Bordeaux UK Holdings II Limited, finalmente se hizo dueña de EMIS Health en un acuerdo de 1.5 mil millones de dólares. EMIS Health ofrece software que conecta a médicos con pacientes, permitiéndoles programar citas, solicitar recetas repetidas, y más. Uno de estos servicios es Patient Access, que reclama unos 17 millones de usuarios registrados que colectivamente realizaron 1.4 millones de citas con médicos de familia a través de la aplicación el año pasado y solicitaron más de 19 millones de recetas repetidas.
No hay nada que sugiera que los datos de los pacientes del Reino Unido estén en peligro aquí; estas son subsidiarias diferentes, con configuraciones diferentes, bajo jurisdicciones diferentes. Pero según su testimonio ante el senado el miércoles, Witty culpó al hackeo del hecho de que desde que UnitedHealth adquirió Change Healthcare en 2022, no había actualizado sus sistemas, y dentro de esos sistemas había un servidor que no tenía habilitada la autenticación de múltiples factores (MFA).
Sabemos que los hackers robaron datos de salud utilizando «credenciales comprometidas» para acceder a un portal de Citrix de Change Healthcare que estaba destinado a que los empleados accedieran a las redes internas de manera remota. Increíblemente, Witty dijo que la compañía todavía estaba tratando de entender por qué MFA no estaba habilitado, dos meses después del ataque. Esto no inspira mucha confianza para los profesionales de la salud del Reino Unido y los pacientes que utilizan EMIS Health bajo los auspicios de sus nuevos propietarios.
Este no es un caso aislado. Separadamente esta semana, el hacker de 25 años Aleksanteri Kivimäki fue encarcelado por más de seis años por infiltrarse en una empresa llamada Vastaamo en 2020, robando datos de atención médica pertenecientes a miles de pacientes finlandeses e intentando extorsionar y chantajear tanto a la empresa como a los pacientes afectados.
Ya sea que los ataques de ransomware tengan éxito o no, son en última instancia lucrativos: los pagos a los perpetradores se duplicaron a más de 1000 millones de dólares en 2023, un año récord según muchos informes. Durante su testimonio, Witty confirmó los informes anteriores de que UnitedHealth pagó un rescate de 22 millones de dólares a sus hackers.
Pero la lección más importante de todo esto es que los datos personales, especialmente los datos de salud, son una enorme mercancía global y deben ser protegidos en consecuencia. Sin embargo, seguimos viendo una higiene de ciberseguridad increíblemente pobre, lo cual debería ser motivo de preocupación para todos.
Como TechCrunch escribió hace unos meses, cada vez es más difícil acceder incluso a la forma más básica de atención médica en el NHS financiado por el estado sin acordar dar acceso a sus datos a empresas privadas, ya sea una multinacional multimillonaria o una startup respaldada por capital de riesgo.
Puede haber razones operativas y prácticas legítimas por las que trabajar con el sector privado tiene sentido, pero la realidad es que tales asociaciones aumentan la superficie de ataque a la que los actores malintencionados pueden apuntar, independientemente de las obligaciones, políticas y promesas que una empresa pueda tener en marcha.
Muchas consultas de médicos de familia en el Reino Unido ahora exigen que los pacientes utilicen software de triaje de terceros para hacer citas, y a menos que se examine minuciosamente la letra pequeña de las políticas de privacidad, a menudo no está claro con quién está haciendo negocios realmente el paciente.
Profundizando en la política de privacidad de un proveedor de servicios de triaje llamado Patchs Health, que dice apoya a más de 10 millones de pacientes en todo el NHS, se revela que es simplemente el «subprocesador» de datos responsable del desarrollo y mantenimiento del software. El principal procesador de datos contratado para brindar el servicio es en realidad una empresa respaldada por capital privado llamada Advanced, que hace dos años sufrió un ataque de ransomware, dejando los servicios del NHS fuera de línea. Al igual que en el ataque a UnitedHealth, se utilizaron credenciales legítimas para acceder a un servidor Citrix.
No hay que mirar muy de cerca para ver las similitudes entre lo que ha sucedido con UnitedHealth y lo que podría suceder en el Reino Unido con las numerosas empresas privadas que establecen asociaciones con el NHS.
Finlandia también sirve como un recordatorio perspicaz a medida que el NHS se adentra más en el ámbito privado. Apodado uno de los mayores crímenes del país, la brecha de datos de Vastaamo surgió después de que una empresa privada de psicoterapia ahora desaparecida fuera subcontratada por el sistema de salud público de Finlandia. Aleksanteri Kivimäki infiltró una base de datos insegura de Vastaamo, y después de que Vastaamo se negara a pagar un rescate de Bitcoin reportado de 450,000 euros, Kivimäki intentó chantajear a miles de pacientes, amenazando con divulgar notas íntimas de terapia.
En la investigación que siguió, se descubrió que Vastaamo tenía procesos de seguridad completamente inadecuados. Su base de datos de pacientes estaba expuesta en internet abierto, incluidos datos sensibles sin encriptar como información de contacto, números de seguro social y notas de terapeutas. El defensor de la protección de datos finlandés señaló que la causa más probable de la brecha fue un «puerto MySQL no protegido en la base de datos» donde la cuenta de usuario raíz no estaba protegida con contraseña. Esta cuenta permitía acceso descontrolado a la base de datos desde cualquier dirección IP, y el servidor no tenía cortafuegos.
En el Reino Unido, ha habido preocupaciones bien vocalizadas sobre cómo el NHS está abriendo el acceso a los datos. La asociación más destacada llegó el año pasado, cuando la compañía de análisis de big data respaldada por Peter Thiel, Palantir, fue otorgada contratos masivos por NHS England para ayudar en la transición a una nueva Plataforma de Datos Federada, mucho para la consternación de médicos y defensores de la privacidad de datos en todo el país.
Todo parece inevitable. Los defensores de la privacidad gritan y lloran, pero las grandes empresas con mucho dinero siguen obteniendo las llaves de datos sensibles pertenecientes a millones de personas. Se hacen promesas, se dan garantías, se implementan procesos, pero luego alguien olvida configurar un básico MFA, o deja una clave de encriptación debajo del felpudo, y todo explota.
Enjuague y repita.