100 millones de víctimas: el hackeo de Change Healthcare sacude al mundo
Estados Unidos se enfrenta a la mayor filtración de datos médicos de la historia.
La empresa Change Healthcare confirmó oficialmente que como resultado de un ciberataque ocurrido el 21 de febrero de 2024, se comprometió la información médica de más de 100 millones de personas. Este evento se convirtió en la mayor filtración de información médica protegida (PHI) entre las organizaciones reguladas por HIPAA, superando la violación de datos récord de Anthem Inc. en 2015, que afectó a 78,8 millones de personas.
Debido a la magnitud de la filtración, la Oficina de Derechos Civiles de EE. UU. (OCR) inició una investigación separada. En el momento de la presentación del informe en julio, la empresa reportó 500 afectados, ya que el análisis de la filtración aún estaba en curso. Ahora, Change Healthcare ha proporcionado datos actualizados, indicando un número aproximado de 100 millones de personas afectadas, aunque el proceso de verificación aún no ha concluido y la cifra podría cambiar.
El senador Ron Wyden criticó el enfoque de la empresa hacia la ciberseguridad, señalando la falta de autenticación multifactorial en uno de los servidores, lo que permitió a los atacantes acceder y causar daños significativos. Hizo un llamado a reformas que exijan una mayor responsabilidad por violaciones de seguridad y aumenten las sanciones por incumplimiento de HIPAA.
UnitedHealth Group, propietario de Change Healthcare, ha enfrentado enormes costos debido al incidente. Al cierre del tercer trimestre de 2024, las pérdidas por el ciberataque ascendieron a 2,87 mil millones de dólares. La restauración de los sistemas continúa, pero algunas operaciones y transacciones aún no han alcanzado los niveles anteriores al ataque.
El ciberataque desató una ola de demandas legales. Más de 50 demandas de pacientes e instituciones médicas se consolidaron para ser procesadas en un tribunal de Minnesota. Las víctimas acusan a la empresa de ofrecer un nivel insuficiente de protección de datos y exigen compensaciones por la filtración de su información personal.
La situación también ha generado preocupaciones sobre la posibilidad de ataques similares en el futuro. Un informe de la Asociación Médica Americana (AMA) indicó que el 60% de los proveedores de servicios médicos siguen enfrentando dificultades para verificar datos de seguros y presentar reclamaciones de pago meses después del ataque.
El escándalo en torno a Change Healthcare ha sido una señal de alarma para la industria, destacando la necesidad de replantear las prioridades en materia de ciberseguridad. Agencias como el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) y la Agencia de Seguridad Cibernética y de Infraestructura (CISA) han comenzado a desarrollar nuevos estándares para organizaciones críticas, incluido el sector médico.
¿Estás cansado de que Internet sepa todo sobre ti?