El director ejecutivo de UnitedHealth criticado por ciberataque

En una tensa audiencia en el Senado el miércoles, los legisladores criticaron duramente el manejo por parte de UnitedHealth Group del ciberataque que paralizó el sistema de atención médica de Estados Unidos, citando la falla de sus sistemas de seguridad y la posible divulgación de información médica confidencial de millones de estadounidenses.

Los senadores demócratas y republicanos cuestionaron si el ciberataque a Change Healthcare, que maneja un tercio de todos los registros de pacientes de Estados Unidos y unos 15 mil millones de transacciones al año, fue tan amplio porque UnitedHealth está demasiado arraigado en casi todos los aspectos de la atención médica en el país. UnitedHealth Group no solo es la empresa matriz de Change, sino también la empresa matriz de la aseguradora de salud más grande del país y un importante administrador de beneficios farmacéuticos (Optum). United también supervisa a casi uno de cada diez médicos del país.

«El cambio es una terrible advertencia sobre las consecuencias de que las megacorporaciones ‘demasiado grandes para quebrar’ se traguen porciones cada vez mayores del sistema de atención médica», dijo el senador Ron Wyden, demócrata de Oregon y presidente del comité de finanzas. . .

El sistema de atención médica de Estados Unidos se vio sumido en el caos después del ataque del 21 de febrero a Change, que sirve como una autopista digital entre aseguradoras de salud, hospitales y médicos. Los pacientes no podían surtir sus recetas y los hospitales y médicos enfrentaban una grave crisis de flujo de efectivo porque no podían recibir pago por su atención.

El director ejecutivo de UnitedHealth, Andrew Witty, ha sido citado a testificar ante el Comité de Finanzas del Senado y el Comité de Energía y Comercio de la Cámara de Representantes.

El miércoles por la mañana defendió los esfuerzos de la empresa para restablecer los servicios y pidió disculpas.

“Como resultado de este ciberataque malicioso, los pacientes y proveedores han experimentado interrupciones y la gente está preocupada por sus datos de salud privados. A todos los afectados, permítanme ser muy claro: lo siento profundamente, profundamente”, dijo.

Pero Witty reconoció la falta de seguridad digital que permitió a los piratas informáticos acceder a la red de Change y admitió que United había fracasado en sus esfuerzos iniciales para ayudar a cubrir los pagos a los proveedores.

La semana pasada, United comenzó a revelar que los piratas informáticos habían obtenido acceso a algunos datos de pacientes, aunque Witty dijo a los senadores que pasaría algún tiempo antes de que la empresa tuviera una idea clara del alcance de esta violación de la información de los pacientes.

Witty dijo que UnitedHealth estaba trabajando con los reguladores para determinar cuándo y cómo comenzar a comunicarse con las personas afectadas.

«Queremos intentar evitar una comunicación fragmentada», dijo.

United se vio obligado a cerrar completamente los sistemas de Change durante varias semanas, lo que provocó difíciles intercambios entre los senadores y Witty sobre el ritmo de los reembolsos a hospitales y otros proveedores.

Witty dijo a los senadores que «el flujo de reclamaciones en todo el país esencialmente ha vuelto a la normalidad». Wyden dijo que había escuchado de proveedores que presentaron reclamos en febrero que tomaría al menos hasta junio para recibir el reembolso.

“Podemos actuar absolutamente más rápido que eso”, dijo Witty, pidiendo que lo pusieran en contacto con cualquier organización que se hubiera quejado ante Wyden.

“Prácticamente todos los proveedores con los que me encuentro están esperando que les paguen”, replicó el Sr. Wyden.

Minutos más tarde, la senadora Marsha Blackburn, republicana de Tennessee, se hizo eco de Wyden, acusando a Witty de presentar una imagen “optimista” del proceso de reembolso y diciendo que su oficina había sido bombardeada con llamadas de proveedores de servicios de salud que esperaban recibir su pago.

Un hospital del estado tenía un retraso en las reclamaciones de Medicare equivalente a los ingresos de un mes, señaló la Sra. Blackburn.

“Todos los días llaman para pedir noticias. Todos los días llaman. Y experimentan fugas todos los días, repetidamente”, dijo. «Es como si no pudieras entender esto».

Witty también reconoció que la empresa pagó un rescate de 22 millones de dólares a los atacantes y dijo que «la decisión de pagar un rescate fue mía». Esta fue una de las decisiones más difíciles por las que me ha costado tomar.

El FBI y otras autoridades están investigando el ataque.

UnitedHealth ha sido criticado por ser cauteloso acerca de los detalles del ataque.

“Usted ha estado por todas partes en términos de responsabilidad personal”, le dijo Wyden a Witty. “Usted ha minimizado constantemente su papel en este asunto. »

Wyden dijo que UnitedHealth no había implementado el tipo más básico de medida de ciberseguridad: la llamada autenticación multifactor.

Witty dijo que a partir del miércoles, todos los «sistemas externos» de UnitedHealth estaban implementando esta forma de autenticación. La empresa también contrató a grupos externos para realizar análisis adicionales de su tecnología, añadió, y contrató a Mandiant, una empresa de ciberseguridad, como asesor.

«Estas son cosas fundamentales que se han olvidado», dijo el senador Thom Tillis, republicano de Carolina del Norte, sosteniendo una copia del libro «Hacking for Dummies».

La audiencia le dio al Sr. Witty la oportunidad de ofrecer un cronograma más detallado del hackeo y la respuesta al mismo.

Los ciberdelincuentes obtuvieron acceso a los sistemas de Change el 12 de febrero, nueve días antes de que UnitedHealth se diera cuenta de que necesitaba cerrarlos. Witty señaló que la empresa rápidamente impidió que el ataque se extendiera más allá de Change a la empresa matriz o a cualquiera de sus otras unidades, como Optum o la aseguradora de salud. «Limitamos el alcance de la explosión sólo para variar», dijo.

Witty también argumentó que la vulnerabilidad del sistema de salud a los ataques se extiende mucho más allá de United, que según él deshace un intento de intrusión cada 70 segundos. Explicó que debido a que United había adquirido el sistema Change hace sólo 18 meses, no había podido renovar completamente las «tecnologías heredadas» de Change, lo que lo hacía vulnerable a la piratería.

Witty dijo en otro momento de la audiencia que simpatizaba con los proveedores que se mostraban reacios a utilizar Change nuevamente.

«La razón por la que la recuperación tomó más tiempo de lo esperado es que literalmente reconstruimos esta plataforma desde cero, para poder asegurar a la gente que no hay elementos del antiguo entorno bajo ataque con la nueva tecnología», dijo.

Algunos senadores han citado la adquisición de la red Change por parte de United en 2022 como un ejemplo de consolidación masiva en la industria de la atención médica. El Departamento de Justicia, que supervisa las aseguradoras de salud, intentó bloquear la compra de Change por parte de United, pero no logró convencer a un juez federal de que el acuerdo era anticompetitivo.

La senadora Elizabeth Warren, demócrata de Massachusetts, calificó a UnitedHealth de «monopolio de esteroides» y enfatizó repetidamente que era la undécima empresa más grande del mundo.

Acusó a United de aprovechar el caos creado por el hackeo para adquirir aún más consultorios médicos, y dijo que la compañía ahora supervisa a uno de cada 10 médicos en el país.

Witty cuestionó sus afirmaciones y señaló sectores en los que United no hacía negocios. «A pesar de nuestro tamaño, no somos propietarios de ningún hospital en Estados Unidos ni de ningún fabricante de medicamentos», dijo.