Cambiando la atención médica afirma haber informado a aproximadamente 100 millones de estadounidenses que sus registros personales, financieros y de salud pueden haber sido robados en un ataque de ransomware en febrero de 2024 que causó la mayor violación de datos de información de salud protegida hasta la fecha.
Imagen: Tamer Tuncay, Shutterstock.com.
Un ataque de ransomware a Change Healthcare en la tercera semana de febrero causó rápidamente interrupciones en el sistema de salud de EE. UU. que repercutieron durante meses, gracias al papel central de la compañía en el procesamiento de pagos y recetas en nombre de miles de organizaciones.
En abril, Change estimó que la infracción afectaría a “una proporción sustancial de personas en Estados Unidos”. El 22 de octubre, el gigante de la salud notificado EL Departamento de Salud y Recursos Humanos de EE. UU. (HHS) que “se han enviado aproximadamente 100 millones de notificaciones sobre esta infracción”.
Una carta de notificación de Change Healthcare indicaba que la infracción implicó el robo de:
-Datos de salud: números de historias clínicas, médicos, diagnósticos, medicamentos, resultados de pruebas, imágenes, cuidados y tratamientos;
-Archivos de facturación: archivos que incluyen tarjetas de pago, archivos financieros y bancarios;
-Datos personales: número de seguro social; licencia de conducir o número de identificación estatal;
-Datos de seguros: planes/pólizas de salud, compañías de seguros, números de identificación de miembros/grupos y números de identificación de pagadores de Medicaid-Medicare-gobierno.
EL Registro HIPAA informes que durante los nueve meses finalizados el 30 de septiembre de 2024, la empresa matriz de Change Grupo de salud unido había incurrido en 1.521 millones de dólares en costos directos de respuesta a violaciones y 2.457 millones de dólares en impactos totales de ataques cibernéticos.
Estos costos incluyen 22 millones de dólares que la compañía admitió haber pagado a sus extorsionadores, un grupo de ransomware conocido como gato negro Y ALPHV – a cambio de la promesa de destruir datos de salud robados.
Este pago de rescate se detuvo cuando el afiliado que le dio a BlackCat acceso a la red de Change dijo que la banda criminal los había estafado con su parte del rescate. Toda la operación de ransomware BlackCat se cerró después de eso, huyendo con todo el dinero que aún se debía a los afiliados contratados para instalar su ransomware.
Una notificación de incumplimiento de Change Healthcare.
Días después de la implosión de BlackCat, un grupo afiliado de ransomware competidor llamado RansomHub.
“Las aseguradoras interesadas pueden contactarnos para evitar la filtración de sus propios datos y [remove it] de venta”, anunció el 16 de abril el blog de RansomHub que avergüenza a las víctimas. “El manejo de datos confidenciales por parte de Change Health y United Health para todas estas empresas es simplemente increíble. Para la mayoría de los estadounidenses que dudan de nosotros, probablemente tengamos sus datos personales.
No está claro si RansomHub alguna vez vendió los datos de salud robados. El director de seguridad de la información de un gran sistema de salud académico afectado por la violación le dijo a KrebsOnSecurity que participó en una llamada con el FBI y le dijeron que un socio externo había logrado recuperar al menos cuatro terabytes de datos exfiltrados de Change por el grupo cibercriminal. . El FBI no respondió a una solicitud de comentarios.
La carta de notificación de incumplimiento de Change Healthcare ofrece a los destinatarios dos años de servicios de monitoreo de crédito y protección contra robo de identidad de una empresa llamada IDX. En el apartado de la misiva titulado “¿Por qué pasó esto?” “, Cambió se limitó a indicar que “un ciberdelincuente accedió a nuestro sistema informático sin nuestra autorización”.
Pero durante un testimonio en junio de 2024 ante el Comité de Finanzas del Senado, él apareció que los intrusos habían robado o comprado credenciales para un portal Citrix utilizado para acceso remoto y que no se requería autenticación multifactor para esa cuenta.
Mes pasado, Senador Mark Warner (D-Va.) y Ron Wyden (Dorado.) presentó una factura requeriría que el HHS desarrollara y hiciera cumplir un conjunto de estándares mínimos estrictos de ciberseguridad para proveedores de atención médica, planes de salud, cámaras de compensación y socios comerciales. La medida también eliminaría el límite actual de multas según la Ley de Responsabilidad y Portabilidad del Seguro Médico, que limita significativamente las sanciones financieras que el HHS puede imponer a los proveedores.
Según el HIPAA Journal, la sanción más grande impuesta hasta la fecha por una violación de HIPPA fue la escasa multa de 16 millones de dólares impuesta a la aseguradora. Himno Inc.que sufrió una filtración de datos en 2015 que afectó a 78,8 millones de personas. Anthem reportó ingresos de aproximadamente 80 mil millones de dólares en 2015.
Un artículo sobre la violación del cambio de RansomHub el 8 de abril de 2024. Imagen: Darkbeast, ke-la.com.
Es poco lo que las víctimas de esta violación pueden hacer para evitar que sus registros médicos se vean comprometidos. Sin embargo, dado que los datos expuestos contienen suficiente información para que los ladrones de identidad hagan su trabajo, sería prudente congelar su informe crediticio y el de sus familiares, si aún no lo ha hecho.
El mejor mecanismo para evitar que los ladrones de identidad creen nuevas cuentas a su nombre es congelar su informe crediticio con Equifax, Experimentado, Y TransUnión. Este proceso ahora es gratuito para todos los estadounidenses y simplemente evita que los acreedores potenciales vean su informe crediticio. Los padres y tutores ahora también pueden congelar los informes crediticios de sus hijos o dependientes.
Dado que muy pocos acreedores están dispuestos a extender nuevas líneas de crédito sin poder determinar el riesgo involucrado, congelar su informe crediticio con los Tres Grandes es una excelente manera de frustrar todo tipo de travesuras crediticias. Establecer una congelación no le impide utilizar líneas de crédito existentes que quizás ya tenga, como tarjetas de crédito, hipotecas y cuentas bancarias. Cuando necesite permitir el acceso a su informe de crédito (por ejemplo, al solicitar un préstamo o una nueva tarjeta de crédito), deberá levantar o descongelar temporalmente el congelamiento con anticipación en una o más oficinas.
Las tres oficinas permiten a los usuarios congelar electrónicamente después de crear una cuenta, pero todas intentan disuadir a los consumidores de congelarla. En cambio, las oficinas esperan que los consumidores opten por sus servicios confusamente llamados “bloqueo de crédito”, que logran el mismo resultado pero permiten a las oficinas continuar vendiendo acceso a su expediente a socios selectos.
Si no lo ha hecho por un tiempo, ahora sería un buen momento para revisar su informe de crédito en busca de irregularidades o errores. Según la ley, toda persona tiene derecho a un informe de crédito gratuito cada 12 meses de cada una de las tres agencias de crédito. Pero la Comisión Federal de Comercio Observaciones que las Tres Grandes oficinas han ampliado permanentemente un programa adoptado en 2020 que le permite verificar su informe crediticio de forma gratuita en cada una de las oficinas una vez por semana.