Desde que su unidad Change Healthcare fuera vulnerada el 21 de febrero por un grupo de piratas informáticos llamado ALPHV, también conocido como "BlackCat", UnitedHealth ha dicho que está trabajando para restaurar los canales afectados y que algunos de sus sistemas están volviendo a la normalidad. Aunque no ha facilitado un plazo para la recuperación total, los analistas de ciberseguridad afirman que es probable que eso esté bastante lejos.

"La cantidad de interrupciones sugiere que no tienen sistemas alternativos preparados", dijo Chester Wisniewski, director de la firma de ciberseguridad Sophos. "Han pasado 13 ó 14 días, y eso ya es más tiempo del que yo esperaría para que se pusieran en marcha los sistemas de respaldo".

Change procesa alrededor del 50% de las reclamaciones médicas en EE.UU. para unos 900.000 médicos, 33.000 farmacias, 5.500 hospitales y 600 laboratorios. Aproximadamente 1 de cada 3 historiales de pacientes estadounidenses se ven afectados por sus ofertas de tecnología sanitaria, lo que la convierte en un objetivo atractivo para los piratas informáticos que buscan acceder a una gran franja de datos sanitarios.

Los clientes directamente afectados pueden ver una solución antes, "pero la parte de atrás, tarda un par de meses, o más de un año", dijo Wisniewski, que ha rastreado este tipo de brechas durante más de 20 años.

Un portavoz de UnitedHealth dijo que la empresa estaba centrada en investigar el hackeo y restablecer las operaciones en Change Healthcare.

Las autoridades estadounidenses han intervenido para ayudar a frenar el caos derivado de la filtración, que ha afectado con especial dureza a los proveedores de atención médica más pequeños, muchos de los cuales tienen dificultades para procesar los pagos.

Infracciones similares ocurridas el año pasado contra la empresa de juegos de azar MGM Resorts International y la empresa de productos de consumo Clorox les afectaron durante meses, costando a MGM al menos 100 millones de dólares en daños y a Clorox una caída de más de 350 millones de dólares en sus ventas netas trimestrales.

"Conseguir que todo vuelva a la normalidad puede ser un proceso de varios meses", dijo Brett Callow, un analista de ransomware con sede en Canadá de la firma de ciberseguridad Emsisoft.

UnitedHealth no ha dicho si ALPHV exigió un rescate, pero un post en un foro de ciberdelincuencia en línea afirmaba que la empresa pagó 22 millones de dólares a los piratas informáticos por recuperar el acceso a sus sistemas bloqueados y a unos 8 terabytes, u 8 millones de megabytes, de datos supuestamente robados.

Este descifrado puede llevar "cantidades irrazonables de tiempo, dependiendo del tamaño de los archivos y de los sistemas en cuestión", afirmó Kurtis Minder, cofundador de la empresa de ciberinteligencia GroupSense.

Minder, que ha ayudado a organizaciones víctimas a negociar con ALPHV, dijo que los plazos de recuperación oscilaban entre unas pocas semanas y "mucho más".

ALPHV no ha respondido a las solicitudes de comentarios. El FBI estadounidense, que suele investigar este tipo de asuntos, declinó hacer comentarios sobre el pirateo.

ATAQUES DE VENGANZA

Meses antes de que ALPHV llevara a cabo su hackeo más perturbador hasta la fecha, ya estaba atacando a hospitales y pequeños proveedores de atención sanitaria.

Minder dijo que ha ayudado a varias empresas, incluida una clínica oftalmológica que fue objetivo de ALPHV el año pasado, a negociar con los piratas informáticos.

"De los grupos con los que hemos tratado en ransomware, ALPHV han sido algunos de los más antagónicos o difíciles de tratar", dijo Minder, añadiendo que la banda era particularmente persistente contra sus objetivos, y testaruda a la hora de negociar rescates.

Activa desde al menos 2021, la banda de ciberdelincuentes de habla rusa ALPHV proporciona su propio software malicioso y su infraestructura a otras bandas de piratas informáticos, y era la segunda entidad de "ransomware como servicio" más prolífica del mundo hasta que el FBI interrumpió sus operaciones en diciembre.

El FBI dijo entonces que se había incautado de muchos sitios web de ALPHV y que había conseguido acceder a su red informática. El hackeo de Change ha suscitado dudas sobre la eficacia real de las acciones de la agencia.

En respuesta al desmantelamiento del FBI, el administrador de ALPHV dio instrucciones a sus "afiliados" piratas informáticos para que atacaran hospitales, según un aviso de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) sobre el grupo la semana pasada.

De las casi 70 víctimas conocidas de ALPHV desde mediados de diciembre, la mayoría pertenecen al sector sanitario, según CISA.

Hay algunos indicios de que ALPHV podría estar tranquilo durante un tiempo. Tras el pirateo de Change Healthcare, la banda ha hecho un acto de desaparición.

Pero es habitual que estos grupos cambien de marca y resuciten, dicen los analistas.

"Para desbaratar de verdad a esta gente, habría que detenerla", dijo Minder. Tales detenciones son difíciles, dijo, dado que estas bandas suelen tener su base en países con los que Estados Unidos no tiene tratados de extradición.