Un año después, ¿qué hemos aprendido de UnitedHealth?
Tabla de contenido:
El mes pasado, el gigante de seguros de salud UnitedHealth Group (UHG) casi duplicó el número de víctimas que originalmente estimó tras la filtración de datos del año pasado. En octubre, la compañía había dicho que 100 millones de personas se vieron afectadas por el ataque de ransomware. En enero, la cifra aumentó a 190 millones. Este parece un buen momento para plantear la pregunta: ¿qué hemos aprendido?
Revisando la violación de UHG
El grupo de ransomware ALPHV/BlackCat robó los datos de Change Healthcare, subsidiaria de UHG, el 21 de febrero de 2024. La banda vinculada a Rusia ya había advertido que apuntaría a empresas del sector de la salud después de que el Departamento de Justicia interrumpiera sus operaciones el diciembre anterior.
Según Change Healthcare Página de aviso de infraccionesLa información personal robada incluía nombres, direcciones, fechas de nacimiento, números de teléfono y direcciones de correo electrónico. Otra información incluía datos de seguros médicos, incluidos números de identificación de miembros/grupos y números de identificación de Medicaid/Medicare.
Los cibercriminales también extrajeron datos personales de salud, incluidos números de historiales médicos, diagnósticos, medicamentos, resultados de pruebas e imágenes, junto con información sobre atención y tratamiento. Por último, la banda de ransomware robó datos de facturación y reclamaciones, incluidos números de reclamaciones, números de cuenta, códigos de facturación, pagos realizados y saldos pendientes.
Afortunadamente, Change Healthcare dijo que los números de seguridad social y los detalles de las cuentas bancarias no estaban entre la información robada.
¿Cómo y por qué sucedió?
Los informes revelaron que los atacantes habían obtenido acceso a un portal de Citrix de Change Healthcare que permitía el acceso remoto a los escritorios el 12 de febrero, utilizando credenciales comprometidas. El portal no estaba protegido por autenticación multifactor (MFA).
Según testimonio del Congreso Según un informe del director ejecutivo Andrew Witty del pasado mes de mayo, los intrusos se desplazaron lateralmente por el sistema de la empresa, consiguiendo acceso a múltiples áreas (incluido el servidor Active Directory) y exfiltrando los datos. Witty también aceptado pagar un rescate de 22 millones de dólares a la banda criminal.
Cómo afrontar la violación
UHG afirmó que reconstruyó la infraestructura tecnológica de Change Healthcare desde cero para que volviera a funcionar de forma segura y también proporcionó miles de millones de dólares en ayuda financiera a aquellos cuya atención médica se vio afectada por el ataque. Witty explicó que también reclutó a terceros, incluidos Mandiant y Palo Alto Networks, para reforzar sus análisis de seguridad internos con los suyos propios y también incorporó a Mandiant como asesor de la junta directiva.
¿Qué podemos aprender de esta violación?
El senador Ron Wyden describió lo que, en su opinión, se debería haber hecho mejor en un carta Un mes después de las audiencias en el Congreso, el presidente Trump se dirigió a la Comisión Federal de Comercio y a la Comisión de Bolsa y Valores, y expuso varios temas.
¿Por qué no se implementó el sistema MFA? La defensa de Witty es que Change Healthcare, que UHG adquirió a fines de 2022, estaba plagado de sistemas heredados fragmentados y que estaba tomando tiempo alinearlos con las políticas de seguridad internas de UHG. La empresa permitió otros controles de seguridad compensatorios donde los sistemas aún no estaban a la altura. Claramente, esos no fueron suficientes.
“Las consecuencias de la aparente decisión de UHG de renunciar a su política de MFA para servidores que utilizan software más antiguo son ahora dolorosamente claras”, dijo Wyden. “Pero la dirección de UHG debería haber sabido, mucho antes del incidente, que se trataba de una mala idea”.
Otras de las preocupaciones de Wyden se centran en la capacidad de los atacantes para moverse con tanta facilidad por el resto de la organización. Cuando alguien salta de un portal de acceso de escritorio para obtener acceso privilegiado al servidor Active Directory de una empresa, algo no va bien. Esto sugiere una falta de algunos principios básicos involucrados en los enfoques de confianza cero, como la microsegmentación y los controles ubicuos de gestión de identidades y acceso en todo el sistema, en lugar de solo bloqueos en activos externos.
Wyden también criticó a UHG por la falta de continuidad de sus operaciones. “En su testimonio ante la Cámara, el Sr. Witty reveló que la empresa pudo restaurar sus sistemas basados en la nube en cuestión de días. Pero, agregó el Sr. Witty, muchos de los sistemas clave de la empresa aún no habían sido diseñados para funcionar en la nube”, decía la carta. “En cambio, estos servicios funcionaban en los propios servidores de la empresa, cuya restauración llevó mucho más tiempo”.
La ciberseguridad no es el único problema
Se trata de principios básicos de cibergobernanza que no deberían sorprender a nadie, y menos a quienes firman los controles de ciberseguridad en UHG. Pero hay otro que es más contundente: UHG sabía perfectamente que iba a recopilar importantes cantidades de datos confidenciales cuando adquirió Change Healthcare.
En febrero de 2022, el Departamento de Justicia demandó a UHG para intentar impedir que adquiera Change Healthcare.
“La transacción propuesta amenaza con provocar un punto de inflexión en la industria de la atención médica al otorgarle a United el control de una importante autopista de datos por la que pasan cada año aproximadamente la mitad de las reclamaciones de seguros médicos de todos los estadounidenses”, dijo el fiscal general adjunto principal Doha Mekki de la División Antimonopolio del Departamento de Justicia. Se trataba de una denuncia antimonopolio, pero las preocupaciones sobre la agregación de datos parecen especialmente proféticas ahora.
A pesar de ello, la empresa no actuó con la suficiente rapidez para proteger esos datos, y no fue por falta de fondos. En 2023, el año siguiente a la adquisición de Change Healthcare, UHG obtuvo el mayor beneficio de su historia (22.4 millones de dólares en ingresos netos) sobre unos ingresos de 371.6 millones de dólares.
Si bien no tenemos una cifra porcentual del presupuesto de seguridad del gigante de los seguros, presumiblemente más de ese dinero debería haberse destinado a reemplazar el panal de sistemas heredados de Change Healthcare para lograr una mejor seguridad y resiliencia.
La violación de datos de UHG se debió a errores técnicos bien entendidos, pero la razón principal es la más cliché de todas: quienes estaban al mando de la mayor empresa de atención médica de los EE. UU. simplemente tenían otras prioridades.
