Los reguladores estatales han sido informados de que más de 10 millones de pacientes se vieron afectados por una violación de datos en Conduent a principios de este año. La compañía presentó un 8-K ante la Comisión de Bolsa y Valores (SEC) revelando que el incidente comenzó a fines de 2024 y persistió hasta enero de 2025.
Conduent reveló que un actor no autorizado accedió a su entorno digital entre el 21 de octubre de 2024 y el 13 de enero de 2025 y obtuvo archivos que contenían datos personales de pacientes. Si bien la compañía no ha revelado detalles específicos de los datos comprometidos, los archivos pueden incluir nombres, fechas de nacimiento, números de Seguro Social e información de tratamiento. La compañía no proporcionó inicialmente el número completo y no verificado de personas afectadas, pero la notificación estatal sugiere que la escala ahora supera los 10 millones.
Entre los estados notificados se encuentran Texas y Oregón. A los reguladores de Texas se les dijo que más de 4 millones de personas se vieron afectadas en esa jurisdicción, mientras que más de 1 millón de personas en Oregón fueron incluidas en el recuento. La compañía presta servicios a numerosas organizaciones de atención médica, incluidas las principales aseguradoras y agencias relacionadas con el gobierno, y varios de estos clientes han emitido notificaciones de incumplimiento a sus miembros.
Conduent dice que la violación afectó a una parte limitada de su red y que sus operaciones diarias no se vieron afectadas. La compañía contrató a empresas de ciberseguridad para realizar revisiones externas e internas de sus sistemas y dijo que ha comenzado a actualizar su postura de seguridad de red. Conduent también reveló que sus costos de respuesta directa totalizaron aproximadamente $ 25 millones. Esa cifra fue parcialmente mitigada por un beneficio de $9 millones recuperado a través de una compañía de seguros de costos legales.
El incidente subraya los riesgos relacionados con los proveedores de servicios empresariales en el sector de la salud. Conduent ofrece una amplia gama de servicios administrativos, como impresión, envío por correo, procesamiento de documentos y servicios de integridad de pagos tanto a agencias gubernamentales como a organizaciones de atención médica. Debido a que maneja información personal y médica confidencial en nombre de otras organizaciones, cualquier violación de sus sistemas puede tener efectos en cascada.
Para las personas afectadas, las implicaciones son graves. Con la exposición esperada de identificadores altamente sensibles, como números de Seguro Social o registros de tratamiento, aumenta el riesgo de robo de identidad, fraude de identidad médica o phishing dirigido a pacientes. Las personas cuyos datos pueden haberse visto afectados deben considerar monitorear la actividad inusual, revisar sus declaraciones y estar atentos a las comunicaciones que hacen referencia a reclamos que no iniciaron.
Si bien Conduent no ha confirmado públicamente si los datos comprometidos se han vendido o publicado en línea, la notificación a los reguladores y el alcance del impacto sugieren que las partes afectadas incluyen un gran segmento de la base de clientes del proveedor. Varias grandes aseguradoras han reconocido públicamente su participación en el incidente o las notificaciones a los miembros afectados, lo que plantea dudas sobre qué tan minuciosamente los proveedores de servicios mapearon las dependencias de sus proveedores y si una violación del proveedor podría ofrecer a los atacantes acceso a múltiples organizaciones posteriores.
Desde una perspectiva regulatoria, es probable que la violación atraiga un escrutinio minucioso. Los fiscales generales estatales y los reguladores federales monitorean de cerca las infracciones de esta escala, particularmente aquellas que involucran datos de leyes de salud o servicios de socios comerciales. Las entidades de los sectores de servicios gubernamentales y de atención médica deben asegurarse de mantener una supervisión sólida de los proveedores externos, llevar a cabo auditorías de los controles de acceso, cifrar los datos confidenciales en reposo y en tránsito, y realizar ejercicios oportunos de respuesta a incidentes.
Para proveedores de servicios como Conduent, este evento puede generar cambios significativos. La compañía se ha comprometido a trabajar con equipos forenses, notificar a las personas afectadas y mejorar la seguridad de su red. Las prácticas de gestión de proveedores pueden ser objeto de revisión, con requisitos más rigurosos para la aplicación de parches, la detección de intrusos, la segmentación de sistemas y la restricción del acceso innecesario a los datos. Las organizaciones que dependen de los proveedores para las operaciones de back-office ahora deben prestar más atención a cómo se manejan sus datos fuera de los sistemas primarios.
En última instancia, esta violación es un recordatorio de la complejidad e interconectividad de los sistemas de datos modernos. Un proveedor que respalda las operaciones gubernamentales y de atención médica puede parecer periférico, pero las infracciones en tales empresas pueden tener implicaciones amplias y graves. Las entidades deben ir más allá de asumir que su propio perímetro es seguro y ampliar la resiliencia cibernética para incluir todos los niveles de su ecosistema de socios.
Si bien los detalles finales siguen pendientes y el número total de personas afectadas aún puede ser mayor, la cifra de más de 10 millones confirma que la violación es uno de los incidentes más grandes de los proveedores de atención médica del año. Los pacientes afectados, los proveedores de servicios y los reguladores se enfrentarán a la cuestión de cómo gestionar el riesgo, comunicarse claramente y prevenir eventos similares en el futuro.