Andrew Witty testificó en una audiencia con la cámara de representantes todo acerca de los motivos, las consecuencias y el impacto del ataque de ransmware que sufrió Change HealthCare a finales de febrero.

Dos meses después del ciberataque de ransomware que paralizó los sistemas de Change HealthCare, dejando a su paso a millones de personas sin acceso a sus medicamentos, los estragos que provocó continúan saliendo a la luz. El director ejecutivo de United HealthCare, Andrew Witty, declaró este miércoles a los legisladores estadounidenses que es posible que aproximadamente un tercio de los ciudadanos hayan sido afectados por el ataque a Change HealthCare.

El CEO de la compañía testificó ante el Subcomité de Supervisión e Investigaciones, el cual pertenece al Comité de Energía y Comercio de la Cámara de Representantes, que los archivos robados incluyen información de salud personal de “una proporción sustancial de personas en Estados Unidos”.

Cuando se le cuestionó acerca de la cantidad de personas afectadas por el incidente, inicialmente Witty se resistió a dar una respuesta precisa porque la empresa todavía está llevando a cabo la investigación sobre la violación de sus sistemas, por lo que aún no han determinado exactamente cuántas personas se vieron afectadas. Sin embargo, cuando se le presionó para que diera una respuesta más específica, Witty respondió: “Posiblemente a un tercio de los estadounidenses, más o menos”.

Cabe destacar que UnitedHealth gestiona más del 35% de todos los registros médicos de los ciudadanos de Estados Unidos y supervisa a 1 de cada 10 médicos en todo el país, según los datos de la Asociación Americana de Hospitales, por lo que no es descabellado pensar que el ciberataque pueda tener el alcance que describe su CEO.

CEO de United HeatlCare admite que pagaron $22 millones de dólares a los hackers tras el ciberataque

Posteriormente en otra audiencia, ahora ante el Comité de Finanzas del Senado, Witty admitió por primera vez que Change Healthcare le pagó $22 millones de dólares al grupo de hackers detrás del ciberataque, conocido como AlphV o BlackCat, para la recuperación de sus datos y subrayó que fue él mismo quien tomó la decisión de pagar el rescate. “Fue una de las decisiones más difíciles que he tenido que tomar en mi vida”, mencionó al respecto.

El primero de marzo de este mismo año, una investigación de la firma de ciberseguridad, Recorded Future, había revelado que un par de semanas después del ciberataque a Change HealthCare una billetera de Bitcoin vinculada a una cuenta de BlackCat había recibido una transacción de 350 bitcoins, equivalentes a aproximadamente $22 millones de dólares, pero la compañía no había confirmado sus implicaciones en esta transferencia hasta ayer.

Aseguran que ya están protegidos contra esta clase de incidentes

Por otro lado, el director ejecutivo de UnitedHealth entregó a los legisladores un testimonio escrito explicando el origen del ataque de ransomware. Witty reveló que los hackers de AlphV utilizaron un conjunto de credenciales robadas para acceder de forma remota a los sistemas de la empresa que no estaban protegidos mediante autenticación multifactor o MFA, una medida básica de ciberseguridad que agrega un paso adicional para iniciar sesión en cuentas empresariales.

“Una vez que el actor de la amenaza obtuvo acceso a nuestros sistemas, se movió lateralmente dentro de estos de maneras más sofisticadas y extrajo millones de datos”, comentó Witty.

Posteriormente, los senadores cuestionaron al CEO de United HealthCare sobre la falla en su sistema, ya que si el portal hubiera tenido habilitada la autenticación multifactor, seguramente la infracción jamás hubiera ocurrido.

Witty culpó al hecho de que los sistemas de Change Healthcare no se habían actualizado desde que UnitedHealth Group adquirió a la empresa en 2022.

“Estábamos en el proceso de actualizar la tecnología que habíamos adquirido. Pero lamentablemente no nos dimos cuenta y dejamos un servidor que no estaba protegido por MFA”, describió Witty. “Ese fue el servidor a través del cual los ciberdelincuentes pudieron ingresar a Change para lanzar el ataque de ransomware que cifró y congeló grandes partes del sistema”.

Por otro lado, recalcó que la compañía continúa trabajando arduamente para comprender exactamente por qué ese servidor no tenía habilitada la autenticación multifactor y dijo a los senadores que la compañía ha habilitado la MFA en todos los sistemas de la compañía expuestos a Internet en respuesta al reciente ciberataque.

Finalmente, Witty comentó que el ciberataque de ransomware le costó más de $870 millones de dólares en el primer trimestre del 2024, admitiendo que ha sido un golpe muy duro para la compañía. “Claramente estamos asumiendo nuestra responsabilidad en este ataque. También estamos tratando de aprender de esto”, puntualizó.