El ataque de ransomware que afectó al titán estadounidense de tecnología sanitaria Change Healthcare a principios de este año fue orquestado por piratas informáticos que aprovecharon credenciales robadas para infiltrarse en los sistemas de la empresa que carecían de autenticación multifactor (MFA). La revelación surgió en el testimonio escrito del director ejecutivo de UnitedHealth, Andrew Witty, presentado hoy ante una audiencia del subcomité de la Cámara de Representantes, que investigará la violación del 21 de febrero que causó estragos en toda la red de atención médica estadounidense. “Los delincuentes utilizaron credenciales comprometidas para acceder de forma remota a un portal Citrix de Change Healthcare, una aplicación utilizada para permitir el acceso remoto a los escritorios. El portal no tenía autenticación multifactor”, escribió Witty. “Una vez que el actor de la amenaza obtuvo acceso, se movió lateralmente dentro de los sistemas de maneras más sofisticadas y extrajo datos. El ransomware se implementó nueve días después”. Lea más sobre esta violación: UnitedHealth establece un cronograma para restaurar los cambios en los sistemas de atención médica después del ataque de BlackCat. Esta es la primera vez que UnitedHealth arroja luz sobre los detalles de la violación, durante la cual se robaron una gran cantidad de datos de salud. La semana pasada, se reveló que los piratas informáticos se salieron con la suya con datos de salud relacionados con una parte significativa de la población de EE. UU., dado el papel fundamental de Change Healthcare en el procesamiento de seguros de salud y facturación de reclamaciones para aproximadamente la mitad de todos los residentes de EE. UU. Aunque los detalles del robo de credenciales siguen sin revelarse, es probable que los investigadores analicen la ausencia de MFA como un potencial talón de Aquiles en el aparato de seguridad de la aseguradora. «Parece como si MFA hubiera evitado la cadena de ataques que condujo a esta violación», comentó Casey Ellis, fundador y director de estrategia de Bugcrowd. El ejecutivo también enfatizó la importancia de asegurar las cadenas de suministro de los proveedores. Añadió que la infracción sugiere un posible papel de recolección y reventa de credenciales oportunistas, lo que refleja el modelo de negocio de Inicial Access Broker. «Es importante destacar que, a primera vista, parece que el software en sí no fue el problema de acceso inicial; podría haber sido cualquier software de acceso remoto sin MFA y con una credencial filtrada o adivinada», explicó Ellis. La violación, marcada por la exfiltración de datos y la posterior implementación de ransomware, llevó a UnitedHealth a implementar medidas de cierre de la red para mitigar su impacto. Si bien UnitedHealth admitió haber pagado el rescate exigido por los perpetradores, identificados como RansomHub, el costo financiero del ciberataque solo en el primer trimestre superó los 87 millones de dólares, en comparación con casi 100 mil millones de dólares en ingresos. «Para prevenir estos ataques, es fundamental que las empresas empleen defensas multicapa», explicó el director ejecutivo de SlashNext, Patrick Harr. “En primer lugar, utilice la IA para evitar el phishing de credenciales y la apropiación de cuentas en el correo electrónico y otros canales de comunicación. En segundo lugar, utilice MFA para protegerse contra credenciales comprometidas. Por último, utilice la última IA en detección de intrusiones y anomalías”.