El estado de Nebraska ha demandado al gigante de la tecnología sanitaria Change Healthcare por una serie de presuntas fallas de seguridad que resultaron en una histórica violación de datos que expuso la información de salud sensible de al menos 100 millones de estadounidenses.
En una queja presentada esta semana, el fiscal general de Nebraska, Mike Hilgers, afirma que Change Healthcare, propiedad de UnitedHealth, no implementó medidas de seguridad adecuadas, lo que llevó a lo que describe como una violación de datos “histórica” en términos de impacto y magnitud.
Esto se produce después de que se revelara en octubre que más de 100 millones de estadounidenses tuvieron sus datos médicos sensibles robados durante un ataque de ransomware en febrero a Change Healthcare. Estos datos incluyen información personal como direcciones y números de teléfono; datos de salud como diagnósticos, medicamentos y planes de tratamiento; y datos financieros y bancarios. Change Healthcare continúa notificando a las personas afectadas sobre la violación de datos, y se espera que el número final sea mayor que 100 millones.
Hilgers dijo en su queja que las “fallas de Change Healthcare en implementar protecciones básicas de seguridad” exacerbaron la magnitud del ciberataque, que se atribuyó a la banda de ransomware ALPHV que habla ruso. La queja alega que el gigante tecnológico de la salud tenía sistemas de TI mal segmentados que permitieron a los hackers viajar libremente entre servidores, y que Change Healthcare no había implementado autenticación multifactor en sus sistemas, lo que significaba que podían ser accedidos solo con un nombre de usuario y contraseña.
La queja también revela información no reportada previamente sobre el incidente, incluyendo nuevos detalles que muestran que los hackers obtuvieron acceso a la red de Change Healthcare utilizando el nombre de usuario y la contraseña de un “empleado de soporte al cliente de bajo nivel”, que Hilgers dijo que fue publicado en un grupo de Telegram conocido por vender credenciales robadas.
Con acceso a esta cuenta “básica a nivel de usuario”, que no tenía acceso de administrador, la queja de Hilgers alega que los hackers pudieron ingresar al servidor que alojaba la aplicación de gestión de medicamentos de Change, SelectRX. A partir de ahí, los hackers crearon cuentas privilegiadas con capacidades de administrador, incluida la capacidad de acceder y eliminar todos los archivos.
“Durante más de nueve días, el hacker navegó por los sistemas de Change sin ser detectado, creando cuentas de administrador privilegiadas, instalando malware y exfiltrando terabytes de datos sensibles”, dice la queja, agregando que el ataque solo fue detectado cuando los archivos fueron encriptados, bloqueando a la empresa de sus propios datos.
Hilgers también está demandando a Change Healthcare por su presunta falta de notificación a las personas afectadas sobre la violación de datos, que dice que impactó al menos a 575,000 habitantes de Nebraska. Hilgers dice que el estado publicó su propio aviso alertando a los residentes sobre la violación porque Change Healthcare aún no había proporcionado aviso a los afectados hasta aproximadamente cinco meses después del ciberataque.
“A la fecha de esta queja, el Estado de Nebraska cree que los Demandados aún no han proporcionado un aviso por escrito a muchos residentes de Nebraska afectados por la violación, dejando a los ciudadanos más vulnerables a la explotación de información financiera, de salud e identificativa personal sensible”, dice la queja.
El fiscal general de Nebraska está pidiendo a un tribunal que ordene a Change Healthcare pagar daños “por el daño causado a los residentes de Nebraska y a los proveedores de atención médica”, quienes, según Hilgers, se vieron obligados a brindar atención sin recibir el pago de reclamaciones de seguros.
El incidente también causó importantes interrupciones operativas, dejando a los pacientes sin los medicamentos y tratamientos necesarios.
Katherine Wojtecki, portavoz de UnitedHealth, dijo: “Creemos que esta demanda no tiene mérito y tenemos la intención de defendernos vigorosamente”. La empresa reiteró en su declaración lo que le dijo en julio, que la revisión de los datos robados de Change Healthcare estaba “en sus etapas finales».
