Change Healthcare, compañía que cuenta con un software que procesa cobros y recetas médicas para cientos de hospitales y centros médicos de EE.UU., habría sufrido la mayor brecha de seguridad de datos vinculada al mundo de la salud en el país el pasado mes de febrero.
Su propietaria, el proveedor de seguros de salud UnitedHealthGroup (UHG), ha dado ahora la cifra exacta de personas afectadas: más de 100 millones sufrieron el robo de sus datos médicos.
La compañía ya había dejado caer que la violación incluiría datos sobre una "proporción sustancial de personas en EE.UU".
Este jueves el Departamento de Salud y Servicios Humanos de EE.UU. ha publicado el número de afectados actualizado.
Los datos robados varían según la persona, pero Change confirmó que incluyen información personal, como nombres y direcciones, fechas de nacimiento, números de teléfono y direcciones de correo electrónico y documentos de identidad gubernamentales, incluyendo números de Seguro Social, números de licencias de tráfico y números de pasaporte.
Además, los detalles de salud robados incluyen diagnósticos, medicamentos, resultados de exámenes, imágenes y planes de atención y tratamiento, así como información financiera y bancaria hallada en los datos de reclamaciones y pagos.
"Continuamos notificando a las personas potencialmente afectadas lo más rápido posible, de forma continua, dado el volumen y la complejidad de los datos involucrados y la investigación aún se encuentra en sus etapas finales", explica en un comunicado Tyler Mason, portavoz de UHG.
No negaron que habían pagado
En abril la compañía admitió que había pagado el rescate exigido por el grupo de ransomware ruso BlackCat (ALPHV). En total fueron unos 20,6 millones de euros a través de Bitcoin enviados mediante transferencia.
La firma aseguró que habían decidido aflojarse el bolsillo como "parte del compromiso de la compañía de hacer todo lo posible para proteger los datos de los pacientes de la divulgación”.
Cuando hizo el pago la firma de salud reconoció que los datos no habían sido recuperados, temiendo perder una gran cantidad de información médica de sus clientes. No obstante, pudo hacerse con una copia para así poder identificar qué información se había comprometido y notificar a las personas afectadas.
BlackCat desapareció del mapa con el rescate, dejando a sus contratistas sin su parte del pastel. Además, tomaron los datos que robaron de Change Healthcare y constituyeron un nuevo grupo que volvió a extorsionar a UHG para obtener un segundo rescate, mientras publicaban una parte de los archivos robados online para demostrar que iban en serio.
El ciberataque se hizo público el pasado 21 de febrero, cuando Change Healthcare desconectó gran parte de su red para contener a los intrusos, provocando interrupciones inmediatas en todo el sector sanitario de EE.UU., que dependía de Change para manejar el seguro y la facturación de los pacientes.
Los legisladores y el gobierno mantienen una investigación para determinar exactamente lo ocurrido.