Dos meses después Los piratas informáticos irrumpieron en los sistemas de Change Healthcare Al robar y luego cifrar datos de la empresa, aún no está claro cuántos estadounidenses se vieron afectados por el ciberataque.
El mes pasado, Andrew Witty, director ejecutivo de UnitedHealth Group, la empresa matriz de Change Healthcare, dijo que los archivos robados incluyen la información personal de salud de «una proporción sustancial de personas en Estados Unidos».
El miércoles, durante una audiencia en la Cámara, cuando Witty fue presionado a dar una respuesta más definitiva, testificando que la violación afectó “Creo que tal vez un tercio [of Americans] o en algún lugar de ese nivel”.
Witty dijo que se resistía a dar una respuesta más precisa porque la empresa todavía está investigando la infracción y tratando de determinar exactamente cuántas personas se vieron afectadas.
El portavoz de UnitedHealth, Anthony Marusic, no respondió de inmediato a una solicitud de comentarios sobre la estimación de Witty.
Durante una audiencia en el Senado el miércoles tempranoWitty dijo que probablemente pasarán «varios meses» antes de que la empresa pueda comenzar a notificar a las víctimas sobre la violación de datos.
En una declaración escrita presentada por Witty antes de las dos audiencias, el director ejecutivo escribió que «hasta ahora, no hemos visto evidencia de exfiltración de materiales como historiales médicos o historiales médicos completos entre los datos».
Según el testimonio de Wittylos piratas informáticos “utilizaron credenciales comprometidas para acceder de forma remota a un portal Citrix de Change Healthcare”, que no estaba protegido por autenticación multifactor, una medida básica de ciberseguridad que agrega un paso adicional para iniciar sesión en cuentas y sistemas.
Si ese portal hubiera tenido habilitada la autenticación multifactor, es posible que la infracción no hubiera ocurrido. Varios senadores interrogaron a Witty sobre ese fracaso, preguntándole si los sistemas UnitedHealth y Change Healthcare ahora están protegidos con autenticación multifactor.
Durante la audiencia del SenadoWitty dijo: «Tenemos una política aplicada en toda la organización para tener autenticación multifactor en todos nuestros sistemas externos, que ya está implementada».
La audiencia de la Cámara está en marcha al momento de escribir este artículo y actualizaremos esta historia a medida que haya más información disponible.