Los piratas informáticos se robaron números de Seguro Social, información de tarjetas de crédito, historiales médicos y más en el ciberataque de febrero a una filial de UnitedHealth Group, reveló la compañía el jueves.
El gigante de la atención médica con sede en Minnetonka reveló mayores detalles sobre el tipo de datos de los consumidores comprometidos y un cronograma para contactar a los afectados en una presentación al Departamento de Salud y Servicios Humanos de EE. UU. y en un comunicado de prensa.
Es posible que a un tercio de todos los estadounidenses se les haya robado parte o la totalidad de esos datos, pero aún no se dispone de una imagen completa de quién se vio afectado y de qué manera. La compañía dijo que comenzaría a notificar a los clientes corporativos afectados el jueves, pero que las personas podrían tardar hasta finales de julio en comenzar a recibir la notificación.
“Si bien la revisión de datos se encuentra en sus últimas etapas, continuamos brindando monitoreo de crédito y protección contra robo de identidad a las personas preocupadas por el posible impacto de sus datos”, dijo la subsidiaria Change Healthcare en un comunicado.
UnitedHealth, la empresa más grande de Minnesota y la aseguradora de salud más grande del país, adquirió Change Healthcare a fines de 2022. El director ejecutivo, Andrew Witty, dijo a los legisladores el mes pasado que la compañía estaba mejorando la seguridad cuando ocurrió el ataque de ransomware.
UnitedHealth pagó un rescate de 22 millones de dólares para resolver el ataque, que ha dejado un largo rastro de perturbaciones en todo el sistema de atención médica de Estados Unidos.
Change Healthcare procesa 15 mil millones de transacciones de atención médica anualmente, según el gobierno federal, y participa en 1 de cada 3 registros de pacientes. El sistema de pago se cerró después del ataque y congeló los pagos a organizaciones de atención médica en todo el país, lo que afectó el acceso de los pacientes a medicamentos y servicios.
“A todos los afectados, permítanme ser claro: lo siento profundamente, profundamente”, dijo Witty en un interrogatorio del Congreso el mes pasado en mayo.
La divulgación del jueves marca “el siguiente paso en el proceso” hacia la notificación completa, dijo Change Healthcare.
La compañía recomienda estar atento a los extractos bancarios y de las tarjetas de crédito, las facturas médicas y los informes crediticios, y presentar un informe policial si se sospecha de un delito.
Por ahora, los afectados no sabrán la naturaleza de su información comprometida. UnitedHealth dijo que podría variar desde el nombre o la dirección de un individuo hasta un diagnóstico médico y sus números de Seguro Social o pasaporte, o una combinación de datos.
“La información que pudo haber estado involucrada no fue la misma para cada individuo afectado”, escribió Change Healthcare. “Hasta la fecha, todavía no hemos visto historiales médicos completos en la revisión de datos”.
El aviso actualizado de HIPAA decía que pronto se notificará a algunos clientes de atención médica que sus miembros o pacientes se vieron afectados para orientarlos hacia la asistencia.
“CHC planea enviar un aviso directo (cartas escritas) al concluir la revisión de datos, según sea necesario, a las personas afectadas identificadas”, dice el documento. “Se espera que el proceso de envío por correo comience a finales de julio cuando CHC complete los procedimientos de control de calidad”.
Si bien no se reveló un número específico de personas afectadas, la compañía dijo anteriormente que se trata de una “proporción sustancial de personas en Estados Unidos”, que asciende a hasta 100 millones de residentes en Estados Unidos.
UnitedHealth Group ofrece servicios gratuitos de monitoreo de identidad y crédito durante dos años; llame al 1-866-262-5342 o visite tinyurl.com/UHGcredit para inscribirse.