En una tensa audiencia en el Senado el miércoles, los legisladores criticaron duramente el manejo por parte de UnitedHealth Group del ciberataque que paralizó el sistema de salud de Estados Unidos, citando la falla de sus sistemas de seguridad y la posible divulgación de información médica confidencial de millones de estadounidenses.
Los senadores demócratas y republicanos han cuestionado si el ciberataque a Change Healthcare, que maneja un tercio de todos los registros médicos de Estados Unidos y alrededor de 15 mil millones de transacciones al año, fue de tan gran escala porque UnitedHealth está demasiado arraigado en casi todos los aspectos de la atención médica del país. . UnitedHealth Group no solo es la empresa matriz de Change, sino también la empresa matriz de la aseguradora de salud más grande del país y un importante administrador de beneficios farmacéuticos (Optum). United también supervisa a casi uno de cada 10 médicos del país.
«El Change Hack es una grave advertencia sobre las consecuencias de que las megacorporaciones ‘demasiado grandes para quebrar’ engullan partes cada vez mayores del sistema de atención médica», dijo el senador Ron Wyden, demócrata de Oregón y presidente del comité financiero. .
El sistema de salud de Estados Unidos quedó sumido en el caos después del ataque del 21 de febrero a Change, que sirve como una autopista digital entre aseguradoras de salud, hospitales y médicos. Los pacientes no podían surtir sus recetas y los hospitales y los médicos se enfrentaban a una grave crisis de liquidez porque no podían recibir el pago por su atención.
El director ejecutivo de UnitedHealth, Andrew Witty, fue llamado a testificar ante el Comité de Finanzas del Senado y el Comité de Energía y Comercio de la Cámara de Representantes.
El miércoles por la mañana defendió los esfuerzos de la empresa para restablecer los servicios y pidió disculpas.
“Como resultado de este ciberataque malicioso, los pacientes y proveedores han experimentado interrupciones y la gente está preocupada por sus datos privados de atención médica. A todos los que se han visto afectados, permítanme ser muy claro: lo siento profundamente, profundamente”, dijo.
Pero Witty reconoció la deficiente seguridad digital que permitió a los piratas informáticos ingresar a la red de Change y admitió que United falló en los esfuerzos iniciales para ayudar a cubrir los pagos a los proveedores.
La semana pasada, United comenzó a revelar que los piratas informáticos habían accedido a algunos datos de pacientes, aunque Witty dijo a los senadores que pasaría bastante tiempo antes de que la compañía tuviera una comprensión sólida de cuán extensa era esa violación de la información de los pacientes.
Witty dijo que UnitedHealth está trabajando con los reguladores para determinar cuándo y cómo comenzar a comunicarse con los afectados.
«Queremos intentar evitar una comunicación fragmentada», dijo.
United se vio obligado a cerrar completamente los sistemas de Change durante varias semanas, lo que provocó irritables intercambios entre los senadores y Witty sobre el ritmo de los reembolsos a hospitales y otros proveedores.
Witty dijo a los senadores que “el flujo de reclamaciones en todo el país básicamente ha vuelto a la normalidad”. Wyden dijo que escuchó de proveedores que presentaron reclamaciones en febrero que el reembolso tardaría al menos hasta junio.
“Podemos avanzar absolutamente más rápido que eso”, dijo Witty, pidiendo que lo pusieran en contacto con cualquier organización que se hubiera quejado ante Wyden.
“Prácticamente todos los proveedores que conozco están esperando que les paguen”, respondió Wyden.
Minutos más tarde, la senadora Marsha Blackburn, republicana de Tennessee, se hizo eco de Wyden, acusando a Witty de presentar un retrato «optimista» del proceso de reembolso y diciendo que su oficina había sido bombardeada con llamadas de trabajadores de la salud que esperaban ser llamados.
Un hospital del estado tenía un retraso en las reclamaciones de Medicare equivalente a los ingresos de un mes, señaló la Sra. Blackburn.
“Todos los días piden una actualización. Todos los días llaman. Y caminan todos los días, repetidamente”, dijo. «Es como si todos ustedes no pudieran entenderlo».
Witty también reconoció que la empresa pagó un rescate de 22 millones de dólares a los atacantes, afirmando que “la decisión de pagar un rescate fue mía. Esta fue una de las decisiones más difíciles que he tomado».
El FBI y otras autoridades están investigando el ataque.
UnitedHealth ha sido criticado por ser cauteloso acerca de los detalles del ataque.
“Usted ha estado por todas partes en términos de responsabilidad personal”, le dijo Wyden a Witty. «Usted ha minimizado constantemente su papel en todo esto».
Wyden dijo que UnitedHealth no aplicó el tipo más básico de medida de ciberseguridad: la llamada autenticación multifactor.
Witty dijo que a partir del miércoles, todos los «sistemas externos» de UnitedHealth estaban implementando esa forma de autenticación. La empresa también ha contratado a grupos externos para realizar análisis adicionales de la tecnología de la empresa, añadió, y ha contratado a Mandiant, una empresa de ciberseguridad, como consultor.
“Éstas son algunas cosas básicas que se han pasado por alto”, dijo el senador Thom Tillis, republicano de Carolina del Norte, sosteniendo un ejemplar del libro “Hacking for Dummies”.
La audiencia le dio a Witty la oportunidad de ofrecer una cronología más detallada del hackeo y la respuesta al mismo.
Los ciberdelincuentes obtuvieron acceso a los sistemas de Change el 12 de febrero, nueve días antes de que UnitedHealth se diera cuenta de que necesitaba cerrarlos. Witty destacó que la empresa evitó rápidamente que el ataque se extendiera más allá de Change a su empresa matriz o a sus otras unidades, como Optum o la aseguradora de salud. «Limitamos el alcance solo al cambio», dijo.
Witty también argumentó que la vulnerabilidad del sistema de salud a los ataques va mucho más allá de United, que, según él, solo cancela un intento de intrusión cada 70 segundos. Dijo que debido a que United adquirió el sistema Change hace sólo 18 meses, no pudo renovar completamente las «tecnologías heredadas» de Change que lo hacían vulnerable a la piratería.
El Sr. Witty dijo en otra parte de la audiencia que simpatizaba con los proveedores que se mostraban reacios a utilizar Change nuevamente.
«La razón por la que la recuperación tomó más tiempo de lo que cabría esperar es que literalmente reconstruimos esta plataforma desde cero, para que podamos asegurar a la gente que no hay elementos del antiguo entorno adjuntos a la nueva tecnología», ha declarado.
Algunos senadores han visto la adquisición de la red Change por parte de United en 2022 como un ejemplo de consolidación masiva en la industria de la salud. El Departamento de Justicia, que supervisa las aseguradoras de salud, intentó bloquear la compra de Change por parte de United, pero no logró convencer a un juez federal de que el acuerdo era anticompetitivo.
La senadora Elizabeth Warren, demócrata de Massachusetts, calificó a UnitedHealth como “un monopolio de esteroides”, señalando más de una vez que es la undécima empresa más grande del mundo.
Acusó a United de aprovechar el caos creado por el hackeo para adquirir aún más consultorios médicos, diciendo que ahora supervisa a uno de cada 10 médicos del país.
Witty cuestionó sus afirmaciones y señaló los sectores en los que United no operaba. «A pesar de nuestro tamaño, no somos propietarios de hospitales ni fabricantes de medicamentos en Estados Unidos», dijo.