Cuatro meses después del ciberataque del 21 de febrero a Change Healthcare, las noticias del hack están disminuyendo en los titulares justo cuando comienza el impacto completo. Informes recientes confirman que el ataque expuso datos médicos y financieros sensibles de 110-130 millones de estadounidenses. Aún más preocupante, estos registros se presumen estar a la venta en la web oscura aquí y ahora, desde historias médicas completas hasta diagnósticos y registros financieros, proporcionando dossiers detallados sobre millones de vidas a criminales, empleadores, enemigos y cualquier persona con los medios y la motivación para explotarlos.
Esto no es solo otra brecha de datos. Es una catástrofe en el sector de la salud. Y está siendo inexplicablemente minimizada. Como veterano de la tecnología financiera que ahora trabaja en innovación en salud, estoy impactado por la falta de atención y acción que esta crisis ha recibido. Considera la escala: Change Healthcare, una subsidiaria de UnitedHealth Group, procesa 15 mil millones de transacciones de salud anualmente. Es la columna vertebral del sistema de pagos de salud de América. Cuando fue comprometido, fue un golpe directo a la infraestructura crítica de nuestra nación. Las ramificaciones de este hack apenas están comenzando a desplegarse, amenazando a pacientes, proveedores, aseguradoras y agencias gubernamentales por igual.
El alcance de esta exposición es sin precedentes
La información comprometida va más allá de nombres y fechas de nacimiento, incluyendo:
Detalles del seguro de salud (incluidos los números de miembro y los números de pagador gubernamental)
Registros médicos completos (diagnósticos, tratamientos, resultados de pruebas)
Datos financieros y de pagos (números de reclamo, detalles de cuenta, historial de pagos)
Números de Seguro Social, licencias de conducir y números de pasaporte
Este nivel de exposición? Absolutamente sorprendente. Es como si los detalles más íntimos de la salud y las vidas financieras de 110 millones de estadounidenses fueran repentinamente exhibidos en vallas publicitarias en todo el país. Combinado con la información públicamente disponible de las redes sociales, los criminales pueden construir perfiles completos de individuos y sus familias.
Respuesta de UnitedHealth: Un paraguas de papel en un huracán de Categoría 5
La respuesta de UnitedHealth a esta monumental brecha no solo es inadecuada, es un golpe en la cara para millones de nosotros cuyos datos más sensibles ahora están expuestos. Su gran gesto: enviar cartas a las víctimas (mientras admiten que ni siquiera tienen todas las direcciones) y ofrecer dos años de monitoreo de crédito complementario y servicios de protección contra robo de identidad. Seamos claros: El monitoreo de crédito no hace nada para proteger contra las formas complejas y devastadoras de fraude que esta brecha permite. Es como instalar un detector de humo después de que tu casa ya ha sido incendiada. Los estadounidenses afectados ahora enfrentan una serie de fraudes potencialmente alteradores de la vida que ningún servicio de monitoreo de crédito puede prevenir o deshacer.
Cinco posibles escenarios de fraude
Basándose en la naturaleza de los datos expuestos y las tendencias actuales de fraude, aquí están las cinco principales amenazas que creo que surgirán en los próximos nueve meses:
Creación de identidades sintéticas: Los criminales podrían fabricar nuevas identidades combinando fragmentos de la información de personas reales. Estas “identidades sintéticas” podrían utilizarse para abrir cuentas de crédito, asegurar préstamos e incluso recibir tratamiento médico.
Fraude de proveedores: Los criminales podrían crear perfiles falsos de médicos utilizando números de identificación fiscal (TIN) robados y datos de pacientes. Armados con historias de visitas de pacientes, medicamentos y resultados de pruebas, podrían presentar reclamaciones fraudulentas altamente convincentes a Medicare y Medicaid.
Robo de identidad de menores: Los criminales también podrían crear identidades sintéticas para menores combinando datos de salud robados con información de las redes sociales. Explotando los historiales crediticios limpios de las jóvenes víctimas, podrían abrir cuentas o asegurar préstamos que pueden pasar desapercibidos durante años.
Fraude de salud impulsado por IA: Estos datos podrían entrenar a la IA para hacerse pasar por pacientes o proveedores, lo que llevaría a niveles sin precedentes de fraude que podrían llevar a la quiebra a individuos y proveedores de atención médica.
Fraude farmacéutico: Los criminales podrían hacerse pasar por pacientes para obtener sustancias controladas como Adderall, creando potencialmente una operación de mercado negro con el tiempo.
La anatomía de una catástrofe: ¿Cómo llegamos a este punto?
Para entender verdaderamente la magnitud de esta brecha, necesitamos examinar las vulnerabilidades que la hicieron posible. En su núcleo, la industria de la salud está plagada de tres problemas interconectados: tecnología obsoleta, retraso en la supervisión y control monopolístico.
En primer lugar, la dependencia de la industria de la salud en sistemas heredados no es solo ineficiente, es peligrosa. Esta infraestructura estaba desactualizada cuando se introdujo el iPhone, sin embargo, todavía maneja nuestros datos más sensibles. En 2024, el uso de máquinas de fax y archivos CSV para transmitir información de salud es un riesgo de seguridad anacrónico esperando ser explotado.
La gobernanza también está desactualizada. Mientras que otras industrias han modernizado las prácticas de protección de datos, la industria de la salud aún se basa en la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) – una ley de 1996, cuando internet estaba en su infancia. Este retraso regulatorio ha dejado a la industria desprevenida ante las amenazas cibernéticas actuales en constante evolución.
Complicando estos problemas está el control monopolístico de la administración de la salud. La dominancia de UnitedHealth, consolidada a través de adquisiciones como Change Healthcare, ha creado un casi monopolio en el procesamiento de datos de salud. ¿El resultado? Una concentración de poder tan intensa que un único punto de fallo puede paralizar todo el sistema, exactamente lo que estamos presenciando ahora. No tenemos un sistema de pagador único en Estados Unidos, pero sí tenemos un administrador único, y esa es una vulnerabilidad catastrófica.
Complacencia generalizada ante el fracaso
La respuesta silenciada a esta crisis es desconcertante e irritante. UnitedHealth Group parece estar operando con impunidad, subrayando una realidad peligrosa: Su dominio los ha hecho aparentemente intocables.
Una de las razones por las que no vemos una amplia indignación es la complejidad del sistema de salud. El papel de Change Healthcare es difícil de entender, y muchas personas ni siquiera han oído hablar de esta empresa anidada dentro de una de las aseguradoras de salud más grandes. Sin embargo, esta complejidad no justifica la inacción.
Nos hemos vuelto insensibles a los ciberataques, pero el costo es demasiado alto para ignorarlo. Mientras puedo perdonar la falta de indignación de la población en general, no puedo excusar a los responsables políticos y líderes de la industria. Esta es su responsabilidad, y su silencio es ensordecedor.
El camino por delante
Nuestros sistemas actuales no están preparados para manejar el histórico fraude que es probable que presenciemos en los próximos meses. El hack de Change Healthcare expuso la podredumbre en el núcleo de nuestros sistemas de datos de salud, y este problema no se resolverá con medidas a medias.
Lo que necesitamos es una reimaginación fundamental de cómo recopilamos, almacenamos y utilizamos los datos de salud. Esto requiere un compromiso comprometido de los actores del mercado y los responsables políticos para abordar estos problemas de frente. Debemos preguntarnos: ¿Qué cambios de infraestructura son necesarios para resolver verdaderamente estas vulnerabilidades?
Los escenarios de fraude que he delineado no son hipotéticos; son planos para el caos inminente. El momento para el cambio incremental ha pasado. Necesitamos una acción audaz y decisiva para restaurar la confianza en nuestro sistema de salud y proteger a los estadounidenses de las consecuencias devastadoras de esta brecha. Las apuestas no podrían ser más altas, y el tiempo apremia.
Foto: traffic_analyzer, Getty Images
Boe Hartman es cofundador y Director de Tecnología (CTO) de Nomi Health. Aporta casi 30 años de experiencia global en tecnología y banca de algunas de las empresas más innovadoras del mundo, incluidas Capital One, Barclays y Goldman Sachs.
Esta publicación aparece a través del programa MedCity Influencers. Cualquier persona puede publicar su perspectiva sobre negocios e innovación en salud en MedCity News a través de MedCity Influencers. Haga clic aquí para averiguar cómo.