El ciberataque a Conduent expone a 10,5 millones de personas en una de las violaciones de atención médica más grandes de la historia de EE. UU.

Conduent Business Solutions LLC, un importante contratista estadounidense de servicios comerciales y back-office para programas gubernamentales y de atención médica, reveló una violación de datos masiva que ha expuesto la información personal de aproximadamente 10,5 millones de personas – convirtiéndolo en el octava mayor violación de datos sanitarios registrado en los Estados Unidos.

Según documentos regulatorios y revelaciones de violaciones, los atacantes obtuvieron acceso no autorizado a los sistemas de Conduent a finales de 2024y la intrusión continuó sin ser detectada durante varios meses antes de ser descubierta en enero 2025. Los datos robados incluyen nombres, números de Seguro Social, fechas de nacimiento, información médica y detalles del seguro médico vinculado a numerosos clientes estatales de Medicaid y seguros de salud.

Los servicios de Conduent incluyen el procesamiento de beneficios, reclamos y elegibilidad para programas de salud del sector público y aseguradoras privadas, una función que puso en riesgo grandes cantidades de datos altamente confidenciales. Los investigadores creen que los atacantes mantuvieron el acceso desde 21 de octubre de 2024 al 13 de enero de 2025tiempo durante el cual aproximadamente 8,5 terabytes de datos fueron exfiltrados.

Se avecinan consecuencias legales y financieras

La violación ha generado una creciente reacción legal. Al menos nueve demandas colectivas federales se han presentado en Nueva Jersey contra Conduent, alegando negligencia en la salvaguardia de información de salud personal y protegida, detección tardía de violaciones y notificaciones tardías a las personas afectadas.

El conduente ya ha incurrido decenas de millones de dólares en los costos de respuesta. Según los documentos presentados, la empresa gastó alrededor $9 millones sobre respuestas a incidentes para septiembre de 2025, con un adicional $16 millones se espera que sea desembolsado a principios 2026 para notificaciones, investigaciones forenses y cumplimiento normativo. Se espera que las pólizas de seguro cibernético compensen algunos de estos costos.

Agencias regulatorias y gubernamentales en varios estados, incluidos Montana y Texas, están investigando el impacto de la violación en los residentes del estado, con la preocupación de que la divulgación tardía pueda haber expuesto a las víctimas a riesgos prolongados. Algunos servicios afectados, como los sistemas de pago de manutención infantil, experimentaron interrupciones operativas relacionadas con la infracción.

FCRF lanza la certificación de cumplimiento emblemática (GRCP) mientras India enfrenta una nueva era de regulación digital

Riesgos para las personas afectadas y salvaguardias recomendadas

Si bien Conduent ha declarado que hasta el momento no se ha confirmado ningún uso indebido de los datos robados, la exposición de Números de seguro social y registros médicos aumenta significativamente el riesgo de robo de identidad, fraude de seguros y explotación financiera para los afectados.

Los expertos en seguridad y defensores de los consumidores instan a las personas afectadas a tomar medidas de protección inmediatas, que incluyen:

• Monitorear informes de crédito regularmente con las principales agencias de crédito.
• Colocar alertas de fraude o congelaciones de crédito para restringir la actividad crediticia no autorizada.
• Esté atento a los intentos de phishing o estafa que podría explotar datos personales expuestos.

Estos pasos son esenciales porque, a diferencia de las contraseñas o los números de cuentas financieras, los datos médicos y de identidad no se pueden restablecer una vez robados.

Implicaciones más amplias para la ciberseguridad y los datos sanitarios

La violación de Conduent subraya las vulnerabilidades sistémicas dentro de los proveedores externos que manejan información médica confidencial. Debido a que Conduent procesa datos en nombre de estados, aseguradoras y programas de salud gubernamentales, una sola infracción tiene efectos en cascada en múltiples sectores.

Los analistas de ciberseguridad dicen que el incidente resalta la necesidad de medidas más sólidas. gestión de riesgos de proveedoresmonitoreo continuo y sistemas mejorados de detección de infracciones, particularmente para empresas a las que se les confía información de salud protegida. A medida que aumentan las acciones legales y aumenta el escrutinio regulatorio, la infracción podría tener repercusiones a largo plazo para la reputación, el desempeño financiero y las relaciones con los clientes de Conduent.