Reforzar las salvaguardias tras el ciberataque a la atención sanitaria

Desafortunadamente, los piratas informáticos no necesitaron habilidades sofisticadas para llevar a cabo uno de los ataques de ransomware de atención médica más alarmantes y trascendentales del país.

En cambio, los ciberdelincuentes que paralizaron una filial de UnitedHealth Group a principios de este año se aprovecharon de una supervisión de seguridad básica y obvia, una revelación que se hizo pública el miércoles en dos audiencias en el Congreso.

La filial se llama Change Healthcare. Actúa como sistema de pago Visa/Mastercard para amplios sectores de atención médica y se le confían los datos de los pacientes. Lo preocupante es que no contaba con autenticación multifactor (MFA) en todos sus sistemas.

MFA requiere que los usuarios, como los empleados, tengan dos o más credenciales para iniciar sesión. Si una credencial es robada o comprometida, proporciona una segunda capa de seguridad para evitar que los delincuentes accedan a redes, bases de datos o hardware. Es un estándar en muchas empresas que protegen datos mucho menos vitales.

No tenerlo, especialmente en el ámbito de la atención sanitaria, es un error básico, el equivalente a no tener un cerrojo en la puerta trasera en un barrio con alta criminalidad. Dado que los ataques de ransomware son difíciles de rastrear y es probable que continúen, los legisladores del país necesitan urgentemente implementar requisitos de seguridad de la información más estrictos para evitar que otros piratas informáticos paralicen gran parte de la atención médica, como lo hizo el ataque Change Health.

El trabajo para lograrlo comenzó de manera encomiable esta semana en el Congreso. Dos audiencias, una en el Senado y otra en la Cámara, pusieron de relieve de manera oportuna y necesaria el ataque de ransomware. Andrew Witty, director ejecutivo de UnitedHealth Group, con sede en Minnesota, testificó en solitario durante todo el miércoles.

A medida que transcurrieron estos eventos, las audiencias fueron inusualmente productivas, con preguntas informadas y grandilocuencia política como mínimo. Se aclararon algunas cuestiones clave, como por ejemplo: ¿Cómo sucedió esto? La respuesta insatisfactoria: UnitedHealth había completado la adquisición de Change Health en octubre de 2022. Con la empresa llegaron sistemas de seguridad obsoletos, aunque parece que United debería haber tenido tiempo para garantizar que existiera una MFA integral. Los piratas informáticos que utilizaron credenciales robadas se aprovecharon cuando no fue así.

Es alarmante que aún se desconozcan otras cuestiones preocupantes, como cuántos pacientes han visto comprometidos sus datos de atención médica. UnitedHealth dijo la semana pasada que «una proporción sustancial» de estadounidenses puede haber visto sus datos personales comprometidos, informó el Star Tribune.

Se necesitan urgentemente respuestas por parte de UnitedHealth, y los legisladores señalan con razón que los registros de pacientes potencialmente comprometidos pueden pertenecer a quienes sirven en el ejército. Hay implicaciones para la seguridad nacional si sus datos médicos se venden en la web oscura, por ejemplo, y caen en las manos equivocadas.

Estas preocupaciones son legítimas. No sólo subrayan la necesidad de requisitos de seguridad de la información más estrictos, sino que también deberían estimular al Congreso a avanzar rápidamente en esta importante reforma.

Claramente, las dos audiencias del miércoles son sólo el comienzo del trabajo de los legisladores. La vulnerabilidad expuesta por un ataque a una sola empresa plantea preguntas más amplias sobre la consolidación de la atención médica y el tamaño de UnitedHealth.

La compañía es «la aseguradora de salud privada más grande del país y el mayor empleador de médicos» y se está expandiendo rápidamente a otras áreas, como centros de cirugía ambulatoria y servicios de atención médica domiciliaria, según el Washington Post.

«Durante décadas, el asombroso crecimiento de UnitedHealth atrajo relativamente poco escrutinio en Washington, particularmente en comparación con los fabricantes de medicamentos convocados repetidamente al Congreso para testificar sobre los aumentos de precios. Los funcionarios federales antimonopolio también se centraron tradicionalmente en impedir que las empresas devoraran a sus competidores directos, lo que se conoce como integración horizontal, al tiempo que eran más permisivo de la estrategia practicada por UnitedHealth, que implica comprar una participación en diferentes sectores de una misma industria, lo que se conoce como integración vertical», informó el Post esta semana.

Si bien esta estrategia ha sido buena para UnitedHealth, no está tan claro que haya beneficiado a los consumidores y a la atención médica. Parece más probable que este fenómeno inhiba la competencia que la fomente. ¿Cómo es eso útil en una era de costos médicos en rápido aumento?

Durante demasiado tiempo, muchos han descartado la rápida consolidación de la industria de la atención médica considerándola simplemente «como es». Es hora de mirar más profundamente en esto. Afortunadamente, Minnesota tiene una senadora estadounidense, Amy Klobuchar, que es experta en antimonopolio (escribió un libro sobre el tema) y tiene influencia en el Capitolio. Esta semana, Klobuchar le proporcionó a un editorialista una declaración encomiable sobre su intención de continuar investigando el hackeo y los problemas que plantea.

«Todavía hay una serie de preguntas pendientes después de la audiencia del Comité de Finanzas en el Senado, y está claro que UnitedHealth y Change Healthcare necesitan hacer más para proteger sus sistemas y garantizar que los proveedores reciban los pagos que necesitan», dijo Klobuchar en el declaración.

«En junio celebraré una audiencia sobre el papel de la política de competencia en la promoción de la resiliencia económica. A medida que nuestra economía se ha vuelto más concentrada, Estados Unidos se ha vuelto más susceptible a fallas puntuales que pueden crear problemas sistémicos. UnitedHealth/Change El hackeo de la atención sanitaria es un ejemplo de ello y será uno de los temas de la audiencia».

Ese es el curso de acción correcto. Requerimientos de seguridad más estrictos deberían ser una prioridad, pero también es necesario ventilar otras cuestiones serias. Este es el momento de comenzar este importante trabajo y Klobuchar debería liderarlo.

2024 StarTribune. Distribuido por Tribune Content Agency, LLC.