En una tensa audiencia en el Senado el miércoles, los legisladores criticaron duramente el manejo por parte de UnitedHealth Group del ciberataque que paralizó el sistema de atención médica de Estados Unidos, citando la falla de sus sistemas de seguridad y la posible divulgación de información médica confidencial de millones de estadounidenses.
Los senadores demócratas y republicanos cuestionaron si el ciberataque a Change Healthcare, que maneja un tercio de todos los registros de pacientes de Estados Unidos y unos 15 mil millones de transacciones al año, fue tan amplio porque UnitedHealth está demasiado arraigado en casi todos los aspectos de la atención médica en el país.
UnitedHealth Group, que registró ingresos de 372 mil millones de dólares en 2023 y es una de las empresas más grandes del país, no solo es la empresa matriz de Change, sino también la empresa matriz de la aseguradora de salud más grande del país y un gran administrador de beneficios farmacéuticos (OptumRx). . United también supervisa a casi uno de cada diez médicos del país.
“El cambio es una terrible advertencia sobre las consecuencias de que las megacorporaciones ‘demasiado grandes para quebrar’ se traguen porciones cada vez mayores del sistema de atención médica”, dijo el senador Ron Wyden, demócrata de Oregon y presidente del comité de finanzas. . .
El sistema de atención médica de Estados Unidos se vio sumido en el caos después del ataque del 21 de febrero a Change, que sirve como una autopista digital entre aseguradoras de salud, hospitales y médicos. Los pacientes no podían surtir sus recetas y los hospitales y médicos enfrentaban una grave crisis de flujo de efectivo porque no podían recibir pago por su atención.
Los legisladores en el Congreso han pedido más información sobre cómo ocurrió el hackeo y qué estaba haciendo UnitedHealth al respecto, y el mes pasado la compañía rechazó una solicitud para comparecer ante el subcomité de Salud desde la sala. El miércoles, el director ejecutivo de UnitedHealth, Andrew Witty, fue citado a testificar ante el Comité de Finanzas del Senado y ante un panel del Comité de Energía y Comercio de la Cámara de Representantes.
Por la tarde, los legisladores de la Cámara expresaron su preocupación, especialmente dada la enorme escala de la empresa. Al describir la “creciente intrusión de UnitedHealth en cada rincón de nuestro sistema de atención médica”, la representante Cathy McMorris Rodgers, republicana de Washington y presidenta del comité de la Cámara de Representantes, dijo que las acciones de la compañía probablemente se convertirían en “un estudio de caso de mala gestión de crisis”.
Por la mañana, Witty defendió los esfuerzos de la empresa por restablecer los servicios y pidió disculpas.
“Como resultado de este ciberataque malicioso, los pacientes y proveedores han experimentado perturbaciones y la gente está preocupada por sus datos de salud privados”, dijo. “A todos los afectados, permítanme ser muy claro: lo siento profundamente, profundamente. »
Pero Witty reconoció la laxa seguridad digital que permitió a los piratas informáticos acceder a la red de Change, incluido un plan de respaldo inadecuado, y reconoció que United había fracasado en sus esfuerzos iniciales para ayudar a cubrir los pagos a los proveedores.
La semana pasada, United comenzó a revelar que los piratas informáticos habían obtenido acceso a algunos datos de pacientes, aunque Witty dijo a los senadores que pasaría algún tiempo antes de que la empresa tuviera una idea clara del alcance de esta violación de la información de los pacientes.
Wyden expresó específicamente su frustración por la falta de información que United había proporcionado a los consumidores. “Los estadounidenses todavía no saben cuánta información confidencial les fue robada”, añadió. Descartó los esfuerzos de la compañía para proporcionar monitoreo crediticio, calificándolos de “pensamientos y oraciones en caso de una violación de datos”.
También destacó la preocupación por la divulgación de datos médicos sensibles sobre personal militar activo cubierto por la empresa, calificándolo de una “clara amenaza a la seguridad nacional”.
Witty dijo que UnitedHealth estaba trabajando con los reguladores para determinar cuándo y cómo comenzar a comunicarse con las personas afectadas.
“Queremos intentar evitar una comunicación fragmentada”, dijo.
United se vio obligado a cerrar completamente los sistemas de Change durante varias semanas, lo que provocó difíciles intercambios entre los senadores y Witty sobre el ritmo de los reembolsos a hospitales y otros proveedores.
Witty dijo a los senadores que “el flujo de reclamaciones en todo el país esencialmente ha vuelto a la normalidad”. Wyden dijo que había escuchado de proveedores que presentaron reclamos en febrero que tomaría al menos hasta junio para recibir el reembolso.
“Podemos actuar absolutamente más rápido que eso”, dijo Witty, pidiendo que lo pusieran en contacto con cualquier organización que se hubiera quejado ante Wyden.
“Prácticamente todos los proveedores con los que me encuentro están esperando que les paguen”, replicó el Sr. Wyden.
Minutos más tarde, la senadora Marsha Blackburn, republicana de Tennessee, se hizo eco de Wyden, acusando a Witty de presentar una imagen “optimista” del proceso de reembolso y diciendo que su oficina había sido bombardeada con llamadas de proveedores de servicios de salud que esperaban recibir su pago.
Un hospital del estado tenía un retraso en las reclamaciones de Medicare equivalente a los ingresos de un mes, señaló la Sra. Blackburn.
“Todos los días llaman para pedir noticias. Todos los días llaman. Y experimentan fugas todos los días, repetidamente”, dijo. “Es como si no pudieras entender esto”.
Witty también reconoció que la empresa pagó un rescate de 22 millones de dólares a los atacantes y dijo que “la decisión de pagar un rescate fue mía”. Esta fue una de las decisiones más difíciles por las que me ha costado tomar.
El FBI y otras autoridades están investigando el ataque.
UnitedHealth ha sido criticado por ser cauteloso acerca de los detalles del ataque.
“Usted ha estado por todas partes en términos de responsabilidad personal”, le dijo Wyden a Witty. “Usted ha minimizado constantemente su papel en este asunto. »
Wyden dijo que UnitedHealth no había implementado el tipo más básico de medida de ciberseguridad: la llamada autenticación multifactor.
Witty dijo que a partir del miércoles, todos los “sistemas externos” de UnitedHealth estaban implementando esta forma de autenticación. La empresa también contrató a grupos externos para realizar análisis adicionales de su tecnología, añadió, y contrató a Mandiant, una empresa de ciberseguridad, como asesor.
“Estas son cosas fundamentales que se han olvidado”, dijo el senador Thom Tillis, republicano de Carolina del Norte, sosteniendo una copia del libro “Hacking for Dummies”.
La audiencia le dio al Sr. Witty la oportunidad de ofrecer un cronograma más detallado del hackeo y la respuesta al mismo.
Los ciberdelincuentes obtuvieron acceso a los sistemas de Change el 12 de febrero, nueve días antes de que UnitedHealth se diera cuenta de que necesitaba cerrarlos. Witty señaló que la empresa rápidamente impidió que el ataque se extendiera más allá de Change a la empresa matriz o a cualquiera de sus otras unidades, como Optum o la aseguradora de salud. “Limitamos el alcance de la explosión sólo para variar”, dijo.
Witty también argumentó que la vulnerabilidad del sistema de salud a los ataques se extiende mucho más allá de United. Explicó que debido a que United adquirió el sistema Change hace sólo 18 meses, no había podido renovar completamente las “tecnologías heredadas” de Change, lo que lo hacía vulnerable a la piratería.
Witty dijo en otro momento de la audiencia que simpatizaba con los proveedores que se mostraban reacios a utilizar Change nuevamente.
“La razón por la que la recuperación tomó más tiempo de lo esperado es que literalmente reconstruimos esta plataforma desde cero, para poder asegurar a la gente que no hay elementos del antiguo entorno bajo ataque con la nueva tecnología”, dijo.
Algunos senadores han citado la adquisición de la red Change por parte de United en 2022 como un ejemplo de consolidación masiva en la industria de la atención médica. El Departamento de Justicia, que supervisa las aseguradoras de salud, intentó bloquear la compra de Change por parte de United, pero no logró convencer a un juez federal de que el acuerdo era anticompetitivo.
El departamento ha abierto una investigación más amplia para determinar si las actividades de la empresa obstaculizan la competencia.
La senadora Elizabeth Warren, demócrata de Massachusetts, calificó a UnitedHealth de “monopolio de esteroides” y enfatizó repetidamente que era la undécima empresa más grande del mundo.
Acusó a United de aprovechar el caos creado por el hackeo para adquirir aún más consultorios médicos, y dijo que la compañía ahora supervisa a uno de cada 10 médicos en el país.
Witty cuestionó sus afirmaciones y señaló sectores en los que United no hacía negocios. “A pesar de nuestro tamaño, no poseemos un solo hospital en Estados Unidos ni un solo fabricante de medicamentos”, dijo.
Los funcionarios federales de salud también están estudiando si las reglas de privacidad que rigen los registros médicos de los estadounidenses deberían ser más estrictas. Los legisladores señalaron que las empresas de atención médica se encontraban entre las más vulnerables a los ataques cibernéticos y algunas pagaron multas porque los datos de los pacientes fueron pirateados.
La semana pasada, Kaiser Permanente notificó a 13,4 millones de personas que su información personal pudo haber sido vulnerada cuando los datos se pudieron haber compartido inadvertidamente con varios terceros.
.