Dos meses después de que los hackers irrumpieran en los sistemas de Change Healthcare, robando y luego cifrando datos de la compañía, todavía no está claro cuántos estadounidenses se vieron afectados por el ciberataque. El mes pasado, Andrew Witty, CEO de la empresa matriz de Change Healthcare, UnitedHealth Group, dijo que los archivos robados incluyen información de salud personal de «una proporción sustancial de personas en América».
El miércoles, durante una audiencia en la Cámara, cuando se le presionó para dar una respuesta más definitiva, Witty declaró que la brecha afectó «creo, tal vez a un tercio [de los estadounidenses] o algo de ese nivel».
Witty dijo que le costaba dar una respuesta más precisa porque la compañía aún está investigando la brecha y tratando de averiguar exactamente cuántas personas se vieron afectadas. El portavoz de UnitedHealth, Anthony Marusic, no respondió inmediatamente a una solicitud de comentario sobre la estimación de Witty.
Durante una audiencia en el Senado más temprano ese miércoles, Witty dijo que probablemente tomará «varios meses» antes de que la compañía pueda comenzar a notificar a las víctimas de la brecha de datos. En una declaración escrita presentada por Witty antes de las dos audiencias, el CEO escribió que «hasta ahora, no hemos visto evidencia de exfiltración de materiales como registros de médicos o historias clínicas completas entre los datos».
Según el testimonio de Witty, los hackers «usaron credenciales comprometidas para acceder de forma remota a un portal de Citrix de Change Healthcare», que no estaba protegido por autenticación de múltiples factores, una medida básica de ciberseguridad que agrega un paso adicional para iniciar sesión en cuentas y sistemas. Si ese portal hubiera tenido habilitada la autenticación de múltiples factores, es posible que la brecha no hubiera ocurrido. Varios senadores presionaron a Witty por esa falla, preguntándole si los sistemas de UnitedHealth y Change Healthcare están ahora protegidos con autenticación de múltiples factores.
Durante la audiencia del Senado, Witty dijo: «Tenemos una política obligatoria en toda la organización para tener autenticación de múltiples factores en todos nuestros sistemas externos, lo cual está en su lugar».
