UnitedHealth Group emitió el jueves una notificación pública sobre el hackeo con ransomware de febrero a su unidad Change Healthcare como parte de sus requisitos para notificar al tercio estimado del país cuyos datos privados pueden haber quedado expuestos en el ataque.

UnitedHealth dijo que espera empezar a enviar cartas a las personas potencialmente afectadas a finales de julio, pero que es posible que no disponga de las direcciones de todas ellas. La compañía dijo que los individuos pueden inscribirse en un monitoreo de crédito gratuito por dos años.

POR QUÉ ES IMPORTANTE

La información de los pacientes está protegida por la Ley de Portabilidad y Responsabilidad del Seguro Médico, o HIPAA (por sus siglas en inglés). La normativa HIPAA obliga a las empresas a notificar a los pacientes la exposición de sus datos.

Se cree que la información que se hizo vulnerable en el ataque a UnitedHealth incluye identificaciones de miembros de seguros médicos, diagnósticos de pacientes, información sobre tratamientos y números de la seguridad social, así como códigos de facturación utilizados por los proveedores.

En un anuncio de mayo, el Departamento de Salud y Servicios Humanos de EE.UU. señaló que los proveedores sanitarios pueden pedir a UnitedHealth que notifique en su nombre a las personas afectadas por el hackeo. Tras el hackeo, algunos proveedores instaron al HHS a que UnitedHealth fuera la única responsable de emitir las notificaciones de las violaciones.

CITA CLAVE

Tras revisar el 90% de los archivos vulnerados, la aseguradora dijo que "no encontró pruebas de que materiales como historiales médicos o historiales médicos completos fueran exfiltrados de sus sistemas".

CONTEXTO

Change Healthcare procesa aproximadamente la mitad de todas las reclamaciones médicas de Estados Unidos.

El pirateo del 21 de febrero a la unidad tecnológica de la mayor aseguradora sanitaria de EE.UU. fue llevado a cabo por la banda rusa de ransomware BlackCat, según declaró el consejero delegado de UnitedHealth, Andrew Witty, en un testimonio ante el Comité de Finanzas del Senado en mayo. A cambio de los datos de los pacientes, UnitedHealth pagó al grupo 22 millones de dólares en Bitcoin, dijo Witty.