En una tensa audiencia en el Senado el miércoles, los legisladores criticaron duramente el manejo por parte de UnitedHealth Group del ciberataque que paralizó el sistema de salud de Estados Unidos, citando la falla de sus sistemas de seguridad y la posible divulgación de información médica confidencial de millones de estadounidenses.
Los senadores demócratas y republicanos han cuestionado si el ciberataque a Change Healthcare, que maneja un tercio de todos los registros médicos de Estados Unidos y alrededor de 15 mil millones de transacciones al año, fue de tan gran escala porque UnitedHealth está demasiado arraigado en casi todos los aspectos de la atención médica del país. .
UnitedHealth Group, que reportó ingresos de 372 mil millones de dólares en 2023 y es una de las empresas más grandes del país, no solo es la empresa matriz de Change, sino también la empresa matriz de la aseguradora de salud más grande del país y un gran administrador de beneficios farmacéuticos (OptumRx). . United también supervisa a casi uno de cada 10 médicos del país.
«El Change Hack es una grave advertencia sobre las consecuencias de que las megacorporaciones ‘demasiado grandes para quebrar’ engullan partes cada vez mayores del sistema de atención médica», dijo el senador Ron Wyden, demócrata de Oregón y presidente del comité financiero. .
El sistema de salud de Estados Unidos quedó sumido en el caos después del ataque del 21 de febrero a Change, que sirve como una autopista digital entre aseguradoras de salud, hospitales y médicos. Los pacientes no podían surtir sus recetas y los hospitales y los médicos enfrentaban una grave crisis de liquidez porque no podían recibir el pago por su atención.
Los legisladores del Congreso han estado clamando por más información sobre cómo ocurrió el ataque y qué estaba haciendo UnitedHealth para abordarlo, y el mes pasado la compañía rechazó una solicitud para comparecer ante el subcomité de salud de la Cámara. El miércoles, el director ejecutivo de UnitedHealth, Andrew Witty, fue citado a testificar ante el Comité de Finanzas del Senado y un comité del Comité de Energía y Comercio de la Cámara de Representantes.
Por la tarde, los parlamentarios de la Cámara expresaron sus preocupaciones, sobre todo teniendo en cuenta el enorme tamaño de la empresa. Al describir la «creciente penetración de UnitedHealth en todos los rincones de nuestro sistema de atención médica», la representante Cathy McMorris Rodgers, republicana de Washington y presidenta del comité de la Cámara de Representantes, dijo que las acciones de la compañía podrían convertirse en «un estudio de caso sobre la crisis de mala gestión de la atención médica».
Por la mañana, Witty defendió los esfuerzos de la empresa por restablecer los servicios y pidió disculpas.
«Como resultado de este ciberataque malicioso, los pacientes y los proveedores han experimentado interrupciones y la gente está preocupada por sus datos de salud privados», dijo. «A todos los afectados, permítanme ser muy claro: lo siento profundamente, profundamente».
Pero Witty reconoció la deficiente seguridad digital que permitió a los piratas informáticos ingresar a la red de Change, incluido un plan de respaldo inadecuado, y admitió que United fracasó en los esfuerzos iniciales para ayudar a cubrir los pagos a los proveedores.
La semana pasada, United comenzó a revelar que los piratas informáticos habían accedido a algunos datos de pacientes, aunque Witty dijo a los senadores que pasaría bastante tiempo antes de que la compañía tuviera una comprensión sólida de cuán extensa era esa violación de la información de los pacientes.
Wyden, en particular, expresó su frustración por la mala información que United brindaba a los consumidores. «Los estadounidenses todavía no saben cuánta información confidencial les ha sido robada», añadió. Descartó los esfuerzos de la compañía para proporcionar monitoreo crediticio, calificándolos de «pensamientos y oraciones sobre violación de datos».
También destacó las preocupaciones sobre la divulgación de datos médicos confidenciales sobre personal militar activo cubierto por la empresa, calificándola de “una clara amenaza a la seguridad nacional”.
Witty dijo que UnitedHealth está trabajando con los reguladores para determinar cuándo y cómo comenzar a comunicarse con los afectados.
«Queremos intentar evitar una comunicación fragmentada», dijo.
United se vio obligado a cerrar completamente los sistemas de Change durante varias semanas, lo que provocó irritables intercambios entre los senadores y Witty sobre el ritmo de los reembolsos a hospitales y otros proveedores.
Witty dijo a los senadores que “el flujo de reclamaciones en todo el país básicamente ha vuelto a la normalidad”. Wyden dijo que escuchó de proveedores que presentaron reclamaciones en febrero que el reembolso tardaría al menos hasta junio.
“Podemos avanzar absolutamente más rápido que eso”, dijo Witty, pidiendo que lo pusieran en contacto con cualquier organización que se hubiera quejado ante Wyden.
“Prácticamente todos los proveedores que conozco están esperando que les paguen”, respondió Wyden.
Minutos más tarde, la senadora Marsha Blackburn, republicana de Tennessee, se hizo eco de Wyden, acusando a Witty de presentar un retrato «optimista» del proceso de reembolso y diciendo que su oficina había sido bombardeada con llamadas de trabajadores de la salud que esperaban ser llamados.
Un hospital del estado tenía un retraso en las reclamaciones de Medicare equivalente a los ingresos de un mes, señaló la Sra. Blackburn.
“Todos los días piden una actualización. Todos los días llaman. Y caminan todos los días, repetidamente”, dijo. «Es como si todos ustedes no pudieran entenderlo».
Witty también reconoció que la empresa pagó un rescate de 22 millones de dólares a los atacantes, afirmando que “la decisión de pagar un rescate fue mía. Esta fue una de las decisiones más difíciles que he tomado».
El FBI y otras autoridades están investigando el ataque.
UnitedHealth ha sido criticado por ser cauteloso acerca de los detalles del ataque.
“Usted ha estado por todas partes en términos de responsabilidad personal”, le dijo Wyden a Witty. «Usted ha minimizado constantemente su papel en todo esto».
Wyden dijo que UnitedHealth no aplicó el tipo más básico de medida de ciberseguridad: la llamada autenticación multifactor.
Witty dijo que a partir del miércoles, todos los «sistemas externos» de UnitedHealth estaban implementando esa forma de autenticación. La empresa también ha contratado a grupos externos para realizar análisis adicionales de la tecnología de la empresa, añadió, y ha contratado a Mandiant, una empresa de ciberseguridad, como consultor.
“Éstas son algunas cosas básicas que se han pasado por alto”, dijo el senador Thom Tillis, republicano de Carolina del Norte, sosteniendo un ejemplar del libro “Hacking for Dummies”.
La audiencia le dio a Witty la oportunidad de ofrecer una cronología más detallada del hackeo y la respuesta al mismo.
Los ciberdelincuentes obtuvieron acceso a los sistemas de Change el 12 de febrero, nueve días antes de que UnitedHealth se diera cuenta de que necesitaba cerrarlos. Witty destacó que la empresa evitó rápidamente que el ataque se extendiera más allá de Change a su empresa matriz o a sus otras unidades, como Optum o la aseguradora de salud. «Limitamos el alcance de la explosión únicamente al Cambio», dijo.
Witty también argumentó que la vulnerabilidad del sistema de salud a los ataques de piratas informáticos va mucho más allá de United. Dijo que debido a que United adquirió el sistema Change hace sólo 18 meses, no pudo renovar completamente las «tecnologías heredadas» de Change que lo hacían vulnerable a la piratería.
El Sr. Witty dijo en otra parte de la audiencia que simpatizaba con los proveedores que se mostraban reacios a utilizar Change nuevamente.
«La razón por la que la recuperación tomó más tiempo de lo que cabría esperar es que literalmente reconstruimos esta plataforma desde cero, para que podamos asegurar a la gente que no hay elementos del antiguo entorno adjuntos a la nueva tecnología», ha declarado.
Algunos senadores han visto la adquisición de la red Change por parte de United en 2022 como un ejemplo de consolidación masiva en la industria de la salud. El Departamento de Justicia, que supervisa las aseguradoras de salud, intentó bloquear la compra de Change por parte de United, pero no logró convencer a un juez federal de que el acuerdo era anticompetitivo.
El departamento ha abierto una investigación más amplia para determinar si las actividades de la empresa obstaculizan la competencia.
La senadora Elizabeth Warren, demócrata de Massachusetts, calificó a UnitedHealth como “un monopolio de esteroides”, señalando más de una vez que es la undécima empresa más grande del mundo.
Acusó a United de aprovechar el caos creado por el hackeo para adquirir aún más consultorios médicos, diciendo que ahora supervisa a uno de cada 10 médicos del país.
Witty cuestionó sus afirmaciones y señaló los sectores en los que United no operaba. «A pesar de nuestro tamaño, no somos propietarios de hospitales ni fabricantes de medicamentos en Estados Unidos», dijo.
Los funcionarios federales de salud también están investigando si las reglas de privacidad que rigen los registros médicos de los estadounidenses deberían ser más estrictas. Los legisladores señalaron que las empresas de atención médica se encuentran entre las más vulnerables a los ataques cibernéticos y algunas han pagado multas porque se violaron los datos de los pacientes.
La semana pasada, Kaiser Permanente notificó a 13,4 millones de personas que su información personal podría haber sido vulnerada cuando los datos podrían haber sido compartidos inadvertidamente con varios terceros.
.