Salud

El director ejecutivo de UnitedHealth, criticado por un ciberataque

Posted on by Isabel

En una tensa audiencia en el Senado el miércoles, los legisladores criticaron duramente el manejo por parte de UnitedHealth Group del ciberataque que paralizó el sistema de atención médica estadounidense, citando la falla de sus sistemas de seguridad y la posible divulgación de información médica confidencial de millones de estadounidenses.

Los senadores demócratas y republicanos cuestionaron si el ciberataque a Change Healthcare, que gestiona un tercio de todos los registros de pacientes estadounidenses y unos 15 mil millones de transacciones al año, fue tan vasto porque UnitedHealth está demasiado arraigado en casi todos los aspectos de la atención médica del país. UnitedHealth Group no sólo es la matriz de Change, sino también la matriz de la aseguradora de salud más grande del país y un gran administrador de beneficios farmacéuticos (Optum). United también supervisa a casi uno de cada 10 médicos del país.

«El hackeo de Change es una terrible advertencia sobre las consecuencias de que las megacorporaciones ‘demasiado grandes para quebrar’ engullan porciones cada vez mayores del sistema de atención médica», dijo el senador Ron Wyden, el demócrata de Oregon que es presidente del Comité de Finanzas. .

El sistema de salud estadounidense se vio sumido en el caos después del 21 de febrero. ataque on Change, que sirve como una autopista digital entre las aseguradoras de salud, los hospitales y los médicos. Los pacientes no podían surtir sus recetas, y los hospitales y los médicos se enfrentaban a una grave crisis de liquidez porque no se les podía pagar por su atención.

El director ejecutivo de UnitedHealth, Andrew Witty, fue citado a testificar ante el Comité de Finanzas del Senado y el Comité de Energía y Comercio de la Cámara de Representantes.

El miércoles por la mañana defendió los esfuerzos de la empresa para restablecer los servicios y pidió disculpas.

“Como resultado de este ciberataque malicioso, los pacientes y proveedores han experimentado interrupciones y la gente está preocupada por sus datos de salud privados. A todos los afectados, permítanme ser muy claro: lo siento profundamente”, dijo.

Pero Witty reconoció la laxa seguridad digital que permitió a los piratas informáticos ingresar a la red de Change y admitió que United falló en los esfuerzos iniciales para ayudar a cubrir los pagos de los proveedores.

La semana pasada, United comenzó a revelar que los piratas informáticos tuvieron acceso a algunos datos de pacientes, aunque Witty dijo a los senadores que pasaría bastante tiempo antes de que la compañía tuviera una idea sólida de cuán extensa era esa violación de la información de los pacientes.

Witty dijo que UnitedHealth estaba trabajando con los reguladores para determinar cuándo y cómo comenzar a comunicarse con las personas afectadas.

«Queremos intentar evitar una comunicación fragmentada», dijo.

United se vio obligado a cerrar completamente los sistemas de Change durante varias semanas, lo que provocó tensos intercambios entre los senadores y Witty sobre el ritmo de los reembolsos a hospitales y otros proveedores.

Witty dijo a los senadores que “el flujo de reclamaciones en todo el país prácticamente ha vuelto a la normalidad”. El Sr. Wyden dijo que había escuchado de proveedores que presentaron reclamos en febrero que tomaría al menos hasta junio para recibir el reembolso.

“Podemos avanzar absolutamente más rápido que eso”, dijo Witty, pidiendo que lo pusieran en contacto con cualquier organización que se hubiera quejado ante Wyden.

“Prácticamente todos los proveedores con los que me encuentro están esperando que les paguen”, respondió Wyden.

Minutos más tarde, la senadora Marsha Blackburn, republicana de Tennessee, se hizo eco de Wyden, acusando a Witty de presentar una descripción “optimista” del proceso de reembolso y diciendo que su oficina había sido bombardeada con llamadas de proveedores de atención médica que esperaban recibir su pago.

Un hospital del estado tenía un retraso en las reclamaciones de Medicare equivalente a un mes de ingresos, señaló la Sra. Blackburn.

“Todos los días llaman para recibir una actualización. Todos los días llaman. Y reciben evasivas todos los días, repetidamente”, dijo. «Es como si todos ustedes no pudieran entender esto».

Witty también reconoció que la empresa pagó un rescate de 22 millones de dólares a los atacantes y dijo que “la decisión de pagar un rescate fue mía. Esta fue una de las decisiones más difíciles que he tenido que tomar en mi vida”.

El FBI y otras autoridades están investigando el ataque.

UnitedHealth ha sido criticado por ser cauteloso acerca de los detalles del ataque.

“Usted ha estado por todos lados en términos de responsabilidad personal”, le dijo Wyden a Witty. «Usted ha minimizado constantemente su papel en esto».

Wyden dijo que UnitedHealth no había aplicado el tipo más básico de medida de ciberseguridad: la llamada autenticación multifactor.

Witty dijo que a partir del miércoles, todos los “sistemas externos” de UnitedHealth estaban implementando esa forma de autenticación. La empresa también había contratado a grupos externos para realizar análisis adicionales de la tecnología de la empresa, añadió, y había contratado a Mandiant, una empresa de ciberseguridad, como asesor.

«Se trata de algunas cosas básicas que se pasaron por alto», dijo el senador Thom Tillis, republicano de Carolina del Norte, sosteniendo una copia del libro «Hacking for Dummies».

La audiencia le dio al Sr. Witty la oportunidad de ofrecer una cronología más detallada del hackeo y la respuesta al mismo.

Los ciberdelincuentes obtuvieron acceso a los sistemas de Change el 12 de febrero, nueve días antes de que UnitedHealth se diera cuenta de que necesitaba cerrarlos. Witty enfatizó que la empresa evitó rápidamente que el ataque se extendiera más allá de Change a la empresa matriz o a cualquiera de sus otras unidades, como Optum o la aseguradora de salud. «Contuvimos el alcance de la explosión sólo para cambiar», dijo.

Witty también argumentó que la vulnerabilidad del sistema de atención médica a los ataques va mucho más allá de United, que, según él, deroga un intento de intrusión cada 70 segundos. Dijo que debido a que United adquirió el sistema Change hace sólo 18 meses, no había podido renovar completamente las “tecnologías heredadas” de Change que lo hacían vulnerable al ataque.

El Sr. Witty dijo en otro momento de la audiencia que simpatizaba con los proveedores que se mostraban reacios a utilizar Change nuevamente.

«La razón por la que la recuperación ha tardado más de lo esperado es que, literalmente, hemos construido esta plataforma desde cero, para poder asegurar a la gente que no hay elementos del antiguo entorno atacado dentro de la nueva tecnología», dijo.

Algunos senadores consideraron la adquisición de la red Change por parte de United en 2022 como un ejemplo de consolidación masiva en la industria de la atención médica. El Departamento de Justicia, que supervisa las aseguradoras de salud, intentó bloquear la compra de Change por parte de United, pero no logró persuadir a un juez federal de que el acuerdo era anticompetitivo.

La senadora Elizabeth Warren, demócrata de Massachusetts, calificó a UnitedHealth como “un monopolio de esteroides”, señalando más de una vez que era la undécima empresa más grande del mundo.

Acusó a United de aprovechar el caos creado por el hackeo para adquirir aún más consultorios médicos, diciendo que ahora supervisaba a uno de cada 10 médicos del país.

Witty cuestionó sus afirmaciones y señaló sectores en los que United no hacía negocios. «A pesar de nuestro tamaño, no somos dueños de hospitales en Estados Unidos ni de fabricantes de medicamentos», dijo.

.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *