Cronología del ataque de ransomware en Change Healthcare.

Un ataque de ransomware a principios de este año a Change Healthcare, una compañía de tecnología sanitaria propiedad de UnitedHealth, ha sido calificado como uno de los mayores robos de datos de información médica en la historia de Estados Unidos. Posterior a la violación de datos ocurrida en febrero, una "proporción sustancial de personas que viven en América" ha comenzado a recibir notificaciones por correo informando que su información personal y de salud fue robada por ciberdelincuentes durante este ataque. Se estima que al menos 100 millones de personas se ven afectadas por este incidente.

Change Healthcare es responsable de procesar facturas y seguros para una gran cantidad de hospitales, farmacias y consultorios médicos en EE. UU. Esto significa que acumula y almacena enormes cantidades de datos médicos extremadamente sensibles acerca de los pacientes en el país. A través de diversas fusiones y adquisiciones, Change se ha convertido en uno de los principales procesadores de datos de salud en Estados Unidos, manejando entre una tercera parte y la mitad de todas las transacciones de salud del país.

El 21 de febrero de 2024, el primer reporte de interrupciones de servicio se produjo cuando los sistemas de facturación en oficinas médicas dejaron de funcionar repentinamente, lo que afectó el procesamiento de reclamos de seguros. Change Healthcare comunicó que estaba "experimentando una interrupción de red relacionada con un problema de ciberseguridad." Posteriormente se confirmó que el ataque fue llevado a cabo por un grupo de ransomware que logró infiltrarse en sus sistemas días antes, alrededor del 12 de febrero.

El 29 de febrero, UnitedHealth reconoció que el ataque no era obra de hackers estatales, sino de un grupo de ransomware que se presentó como ALPHV/BlackCat. Este grupo, conocido por operar en el sector del ransomware como servicio, reclamó el ataque en un sitio asociado en la dark web, afirmando haber robado información sensible de millones de estadounidenses.

El grupo ALPHV desapareció tras hacerse con un rescate de 22 millones de dólares, y aunque se publicaron informes de que las autoridades estadounidenses y británicas habían tomado medidas, ambas negaron haber desmantelado al grupo. Los problemas continuaron en el sector salud debido a la incapacidad de muchos pacientes para obtener sus recetas, lo que llevó a la American Medical Association a señalar la escasa información proporcionada por las empresas implicadas.

A finales de marzo, el gobierno de EE. UU. ofreció una recompensa de 10 millones de dólares por información que permitiera capturar a los líderes de ALPHV/BlackCat. Para abril, uno de los afiliados del grupo formó una nueva organización de extorsión, RansomHub, y exigió un nuevo rescate a UnitedHealth, afirmando tener datos robados de Change Healthcare.

El 22 de abril, UnitedHealth confirmó que el ataque había afectado a una "proporción sustancial de personas en América", revelando que el tipo de datos robados incluía registros médicos, diagnósticos y otros detalles sensibles. Finalmente, el 1 de mayo, el CEO de UnitedHealth testificó ante el Senado que el ataque fue facilitado por una sola contraseña en una cuenta sin autenticación multifactor, remarcando que la violación era completamente prevenible.

A medida que se avanzaba con la notificación a los afectados, Change Healthcare comenzó este proceso de notificación formal el 20 de junio, y para el 29 de julio inició el envío de cartas a los individuos afectados detallando la información robada. En octubre, más de ocho meses después del ataque, UnitedHealth finalmente confirmó que más de 100 millones de personas se habían visto afectadas, convirtiéndose en el robo digital más grande de registros médicos en EE. UU.