El ataque de ransomware que ha envuelto al gigante de seguros de salud de EE. UU. UnitedHealth Group y su subsidiaria tecnológica Change Healthcare es una pesadilla de privacidad de datos para millones de pacientes estadounidenses, con el CEO Andrew Witty confirmando esta semana que puede afectar hasta un tercio del país.
Pero también debería servir como una llamada de atención para los países de todo el mundo, incluido el Reino Unido, donde UnitedHealth ahora trabaja a través de la reciente adquisición de una empresa que maneja los datos de millones de pacientes del NHS (Servicio Nacional de Salud).
Como una de las mayores compañías de salud en EE. UU., UnitedHealth es bien conocida nacionalmente, intersectando con todos los aspectos de la industria de la salud, desde seguros y facturación hasta la red de médicos y farmacias, hasta convertirse en un gigante de $500 mil millones, y la 11ª compañía más grande a nivel global en términos de ingresos. Pero en el Reino Unido, UnitedHealth es prácticamente desconocida, principalmente porque no ha tenido mucho negocio al otro lado del charco, hasta hace seis meses.
Después de un proceso regulatorio de 16 meses que concluyó en octubre, la filial de UnitedHealth Optum UK, a través de una filial llamada Bordeaux UK Holdings II Limited, finalmente adquirió EMIS Health en un acuerdo de $1.5 mil millones. EMIS Health proporciona software que conecta a médicos con pacientes, permitiéndoles programar citas, solicitar recetas repetidas y más. Uno de estos servicios es Patient Access, que tiene aproximadamente 17 millones de usuarios registrados que en conjunto realizaron 1.4 millones de citas de médico de cabecera a través de la aplicación el año pasado y solicitaron más de 19 millones de recetas repetidas.
No hay nada que sugiera que los datos de los pacientes del Reino Unido estén en riesgo aquí, son subsidiarias diferentes, con configuraciones diferentes, bajo jurisdicciones diferentes. Pero según su testimonio en el Senado el miércoles, Witty culpó al hackeo del hecho de que desde que UnitedHealth adquirió Change Healthcare en 2022, no había actualizado sus sistemas, y dentro de esos sistemas había un servidor que no tenía habilitada la autenticación multifactor (MFA, por sus siglas en inglés).
Sabemos que los piratas informáticos robaron datos de salud usando "credenciales comprometidas" para acceder a un portal de Citrix de Change Healthcare que había sido destinado para que los empleados accedieran a las redes internas de forma remota. Increíblemente, Witty dijo que la compañía todavía estaba trabajando para entender por qué no se había habilitado MFA, dos meses después del ataque. Esto no inspira gran confianza para los profesionales y pacientes de la salud del Reino Unido que utilizan EMIS Health bajo los auspicios de sus nuevos propietarios.
Esto no es un caso aislado.
Separadamente esta semana, el hacker de 25 años Aleksanteri Kivimäki fue condenado a más de seis años de prisión por infiltrarse en una empresa llamada Vastaamo en 2020, robar datos de salud pertenecientes a miles de pacientes finlandeses e intentar extorsionar y chantajear tanto a la empresa como a los pacientes afectados.
Ya sea que los ataques de ransomware resulten exitosos o no, son finalmente lucrativos: los pagos a los perpetradores supuestamente se duplicaron a más de $1 mil millones en 2023, un año récord en muchos aspectos. Durante su testimonio, Witty confirmó los informes anteriores de que UnitedHealth realizó un pago de rescate de $22 millones a sus hackers.
¿Por qué los grupos de ransomware están ganando tanto dinero?
Los datos de salud como una mercancía valiosa
Pero la mayor lección de todo esto es que los datos personales, especialmente los datos de salud, son una mercancía global enorme, y deben ser protegidos en consecuencia. Sin embargo, seguimos viendo una higiene de ciberseguridad increíblemente deficiente, lo que debería ser motivo de preocupación para todos.
Como escribió TechCrunch hace unos meses, cada vez es más difícil acceder incluso a la forma más básica de atención médica en el NHS financiado por el estado sin aceptar dar a empresas privadas acceso a tus datos, ya sea una multinacional de mil millones de dólares o una startup respaldada por capital de riesgo.
Puede haber razones operativas y prácticas legítimas por las que trabajar con el sector privado tenga sentido, pero la realidad es que tales asociaciones aumentan la superficie de ataque que los actores malintencionados pueden apuntar, independientemente de las obligaciones, políticas y promesas que una empresa pueda tener en vigor.
¿Quieres ver a un médico del NHS? Prepárate para entregar tus datos primero.
Muchas consultas médicas de médicos de cabecera en el Reino Unido ahora requieren que los pacientes utilicen software de triaje de terceros para programar citas, y a menos que se lea detenidamente la letra pequeña de las políticas de privacidad, a menudo no está claro con quién está haciendo negocios realmente el paciente.
Profundizando en la política de privacidad de un proveedor de servicios de triaje llamado Patchs Health, que afirma apoyar a más de 10 millones de pacientes en todo el NHS, se revela que es simplemente el "subprocesador" de datos responsable del desarrollo y mantenimiento del software. El principal procesador de datos contratado para prestar el servicio es en realidad una empresa respaldada por capital privado llamada Advanced, que fue víctima de un ataque de ransomware hace dos años, dejando los servicios del NHS fuera de línea. Similar al ataque de UnitedHealth, se utilizaron credenciales legítimas para acceder a un servidor Citrix.
No es necesario esforzarse para ver las similitudes entre lo que ha sucedido con UnitedHealth y lo que podría suceder en el Reino Unido con las numerosas empresas privadas que establecen asociaciones con el NHS.
Finlandia también sirve como un recordatorio presciente a medida que el NHS se adentra más en el ámbito privado. Apodada como uno de los mayores crímenes del país, la filtración de datos de Vastaamo ocurrió después de que una empresa privada de psicoterapia ahora extinta fuera subcontratada por el sistema de salud pública de Finlandia. Aleksanteri Kivimäki se infiltró en una base de datos insegura de Vastaamo, y después de que Vastaamo se negara a pagar un rescate de Bitcoin de €450,000 reportado, Kivimäki intentó chantajear a miles de pacientes, amenazando con revelar notas íntimas de terapia.
En la investigación que siguió, se descubrió que Vastaamo tenía procesos de seguridad completamente inadecuados. Su base de datos de pacientes estaba expuesta en internet, incluida información de contacto sin cifrar, números de seguridad social y notas de terapeutas. El defensor del pueblo finlandés de protección de datos señaló que la causa más probable de la brecha fue un "puerto MySQL no protegido en la base de datos", donde la cuenta de usuario raíz no estaba protegida por contraseña. Esta cuenta permitía acceso irrestricto a la base de datos desde cualquier dirección IP, y el servidor no tenía un cortafuegos.
En el Reino Unido, ha habido preocupaciones expresadas sobre cómo el NHS está abriendo el acceso a los datos. La asociación más destacada llegó el año pasado, cuando la empresa de análisis de datos respaldada por Peter Thiel, Palantir, recibió contratos masivos de NHS England para ayudarlo a pasar a una nueva Plataforma de Datos Federados (FDP), para descontento de médicos y defensores de la privacidad de datos en todo el país.
Parece algo inevitable. Los defensores de la privacidad gritan y protestan, pero las grandes compañías con mucho dinero siguen obteniendo las llaves de datos sensibles pertenecientes a millones de personas. Se hacen promesas, se dan garantías, se implementan procesos, luego alguien olvida configurar un MFA básico, o deja una clave de cifrado bajo el felpudo, y todo explota.
Lavar y repetir.